Sdílet prostřednictvím

Přehled správy zařízení pomocí Intune

Základní součástí zabezpečení na podnikové úrovni je správa a ochrana zařízení. Správa zařízení je součástí strategie, ať už vytváříte nulová důvěra (Zero Trust) architekturu zabezpečení, posílení svého prostředí proti ransomwaru nebo vytváříte ochranu pro podporu vzdálených pracovníků. I když Microsoft 365 obsahuje několik nástrojů a metodologií pro správu a ochranu zařízení, tyto pokyny vás provedou doporučeními Microsoftu s využitím Microsoft Intune. Toto je pro vás ten správný návod, pokud:

  • Naplánujte registraci zařízení do Intune prostřednictvím připojení Microsoft Entra (včetně Microsoft Entra hybridního připojení).
  • Naplánujte ruční registraci zařízení do Intune.
  • Povolte používání vlastních zařízení (BYOD) s plány na implementaci ochrany aplikací a dat a/nebo registraci těchto zařízení v Intune.

Na druhou stranu, pokud vaše prostředí obsahuje plány pro spolusprávu včetně Microsoft Configuration Manager, přečtěte si dokumentaci ke spolusprávě, kde najdete nejlepší cestu pro vaši organizaci. Pokud vaše prostředí zahrnuje plány Windows 365 Cloud PC, přečtěte si Windows 365 Enterprise dokumentaci, kde najdete nejlepší cestu pro vaši organizaci.

Podívejte se na toto video s přehledem procesu nasazení.

Proč spravovat koncové body?

Moderní podnik má neuvěřitelnou rozmanitost koncových bodů, které přistupují k datům. Toto nastavení vytváří prostor pro masivní útoky, a proto se koncové body můžou snadno stát nejslabším článkem ve vaší strategii zabezpečení nulová důvěra (Zero Trust).

Uživatelé většinou řídili nutností, jak se svět přesunul na model práce na dálku nebo hybridní práci, a to odkudkoli, z libovolného zařízení, více než kdykoliv v historii. Útočníci rychle upravují svoji taktiku, aby tuto změnu využili. Mnoho organizací se při procházení těchto nových obchodních výzev potýká s omezenými prostředky. Prakticky přes noc společnosti urychlily digitální transformaci. Jednoduše řečeno, způsob práce lidí se změnil. Už neočekáváme, že budeme přistupovat k nesčetným podnikovým prostředkům jenom z kanceláře a ze zařízení vlastněných společností.

Získání přehledu o koncových bodech, které přistupují k podnikovým prostředkům, je prvním krokem ve strategii nulová důvěra (Zero Trust) zařízení. Společnosti obvykle aktivně chrání počítače před ohroženími zabezpečení a útoky, zatímco mobilní zařízení často bývají nemonitorovaná a bez ochrany. Abychom zajistili, že vaše data nevystavujete rizikům, musíme monitorovat rizika v každém koncovém bodu a používat podrobné řízení přístupu, abychom zajistili odpovídající úroveň přístupu na základě zásad organizace. Pokud má například osobní zařízení jailbreak, můžete jeho přístup zablokovat, abyste zabránili tomu, aby byly podnikové aplikace vystaveny známým chybám zabezpečení.

Tato série článků vás provede doporučeným procesem správy zařízení, která přistupují k vašim prostředkům. Pokud budete postupovat podle doporučených kroků, vaše organizace dosáhne velmi sofistikované ochrany pro vaše zařízení a prostředky, ke kterým přistupuje.

Implementace vrstev ochrany na zařízeních a pro zařízení

Ochrana dat a aplikací na zařízeních a samotných zařízeních je vícevrstvé. Na nespravovaných zařízeních můžete získat několik ochran. Po registraci zařízení do správy můžete implementovat sofistikovanější ovládací prvky. Když je ochrana před hrozbami nasazená napříč koncovými body, získáte ještě více přehledů a možnost automaticky napravit některé útoky. Pokud vaše organizace dala práci na identifikaci citlivých dat, použití klasifikace a popisků a konfiguraci zásad Ochrana před únikem informací Microsoft Purview, můžete získat ještě podrobnější ochranu dat na koncových bodech.

Následující diagram znázorňuje stavební bloky pro dosažení nulová důvěra (Zero Trust) stavu zabezpečení pro Microsoft 365 a další aplikace SaaS, které do tohoto prostředí zavádíte. Prvky související se zařízeními jsou očíslovány 1 až 7. Správci zařízení budou tyto vrstvy ochrany koordinovat s ostatními správci.

Diagram stavebních bloků stavu zabezpečení nulová důvěra (Zero Trust)

Na tomto obrázku:

  Krok Popis Požadavky na licencování
1 Konfigurace nulová důvěra (Zero Trust) identita počátečního bodu a zásad přístupu zařízení Krok 1. Implementací zásad ochrany aplikací vytvoříte základ pro ochranu zařízení pomocí zásad ochrany Intune aplikací, které nevyžadují správu zařízení. Pak spolupracujte se správcem týmu identit na implementaci zásad podmíněného přístupu, které vyžadují schválené aplikace, a nastavte úroveň 2 rozšířenou podnikovou ochranu dat, což je doporučená výchozí úroveň pro zařízení, kde uživatelé přistupují k citlivým informacím. E3, E5, F1, F3, F5
2 Registrace zařízení k Intune Tato úloha vyžaduje více plánování a času na implementaci. Microsoft doporučuje k registraci zařízení používat Intune, protože tento nástroj poskytuje optimální integraci. V závislosti na platformě existuje několik možností registrace zařízení. Zařízení s Windows se dají například zaregistrovat pomocí Microsoft Entra připojení nebo pomocí Autopilotu. Musíte zkontrolovat možnosti pro každou platformu a rozhodnout se, která možnost registrace je pro vaše prostředí nejvhodnější. Viz krok 2. Další informace získáte při registraci zařízení v Intune. E3, E5, F1, F3, F5
3 Konfigurace zásad dodržování předpisů Chcete mít jistotu, že zařízení, která přistupují k vašim aplikacím a datům, splňují minimální požadavky. Zařízení jsou například chráněná heslem nebo kódem PIN a operační systém je aktuální. Zásady dodržování předpisů představují způsob, jak definovat požadavky, které zařízení musí splňovat. Krok 3. Nastavení zásad dodržování předpisů vám pomůže tyto zásady nakonfigurovat. E3, E5, F3, F5
4 Konfigurace podnikových (doporučeno) nulová důvěra (Zero Trust) identit a zásad přístupu k zařízením Teď, když jsou vaše zařízení zaregistrovaná, můžete ve spolupráci se správcem identity vyladit zásady podmíněného přístupu tak, aby vyžadovaly zařízení, která jsou v pořádku a dodržují předpisy. E3, E5, F3, F5
5 Nasazení konfiguračních profilů Na rozdíl od zásad dodržování předpisů zařízením, které jednoduše označí zařízení jako vyhovující nebo ne na základě konfigurovaných kritérií, konfigurační profily ve skutečnosti mění konfiguraci nastavení na zařízení. Zásady konfigurace můžete použít k posílení zabezpečení zařízení proti kybernetickým hrozbám. Viz krok 5. Nasaďte konfigurační profily. E3, E5, F3, F5
6 Monitorování rizik zařízení a dodržování předpisů pomocí standardních hodnot zabezpečení V tomto kroku připojíte Intune k Microsoft Defender for Endpoint. Díky této integraci pak můžete monitorovat riziko zařízení jako podmínku pro přístup. Zařízení, u které se zjistí, že jsou v rizikovém stavu, se zablokují. Můžete také monitorovat dodržování předpisů se standardními hodnotami zabezpečení. Viz krok 6. Monitorujte rizika zařízení a dodržování předpisů podle standardních hodnot zabezpečení. E5, F5
7 Implementace ochrany před únikem informací (DLP) s využitím možností ochrany informací Pokud vaše organizace pracuje na identifikaci citlivých dat a označování dokumentů, můžete na ochraně citlivých informací a dokumentů na svých zařízeních spolupracovat se správcem ochrany informací. Doplněk pro dodržování předpisů E5, F5

Koordinace správy koncových bodů pomocí nulová důvěra (Zero Trust) identit a zásad přístupu zařízení

Tyto pokyny jsou úzce koordinovány s doporučenými nulová důvěra (Zero Trust) zásadami přístupu k identitám a zařízením. Ve spolupráci s týmem identit budete přenášet ochranu, kterou nakonfigurujete pomocí Intune, do zásad podmíněného přístupu v Microsoft Entra ID.

Následuje obrázek doporučené sady zásad s popisky kroků pro práci, kterou budete dělat v Intune, a souvisejících zásad podmíněného přístupu, které vám pomůžou koordinovat Microsoft Entra ID.

nulová důvěra (Zero Trust) identit a zásad přístupu zařízení.

Na tomto obrázku:

  • V kroku 1 jsou zásady ochrany aplikací úrovně 2 nakonfigurované jako doporučená úroveň ochrany dat s Intune zásadami ochrany aplikací. Pak ve spolupráci s týmem identit nakonfigurujete související pravidlo podmíněného přístupu tak, aby vyžadovalo použití této ochrany.
  • V krocích 2, 3 a 4 zaregistrujete zařízení do správy pomocí Intune, definujete zásady dodržování předpisů zařízením a pak se s týmem identit dokoordinujete a nakonfigurujete související pravidlo podmíněného přístupu tak, aby umožňovalo přístup jenom k zařízením vyhovujícím předpisům.

Registrace zařízení vs. onboarding zařízení

Pokud budete postupovat podle těchto pokynů, zaregistrujete zařízení do systému správy pomocí Intune a pak nasadíte zařízení pro následující funkce Microsoftu 365:

  • Microsoft Defender for Endpoint (ochrana koncových bodů)
  • Microsoft Purview (pro ochranu před únikem informací koncového bodu))

Následující obrázek podrobně popisuje, jak to funguje pomocí Intune.

Proces registrace a onboardingu zařízení

Na obrázku:

  1. Registrace zařízení do správy pomocí Intune.
  2. Intune použijte k onboardingu zařízení do Defenderu for Endpoint.
  3. Zařízení, která jsou onboardována do Defenderu for Endpoint, jsou také onboardována pro funkce Microsoft Purview, včetně ochrany před únikem informací o koncovém bodu.

Mějte na paměti, že zařízení spravuje jenom Intune. Onboarding označuje schopnost zařízení sdílet informace s konkrétní službou. Následující tabulka shrnuje rozdíly mezi registrací zařízení do správy a onboardingem zařízení pro konkrétní službu.

  Přihlásit se Palubní
Popis Registrace se vztahuje na správu zařízení. Zařízení jsou zaregistrovaná pro správu pomocí Intune nebo Configuration Manager. Onboarding nakonfiguruje zařízení tak, aby fungovalo s konkrétní sadou funkcí v Microsoftu 365. V současné době se onboarding vztahuje na možnosti dodržování předpisů Microsoft Defender for Endpoint a Microsoftu.

Onboarding na zařízeních s Windows zahrnuje přepnutí nastavení v programu Windows Defender, které umožňuje programu Defender připojit se k online službě a přijmout zásady, které se vztahují na zařízení.
Rozsah Tyto nástroje pro správu zařízení spravují celé zařízení, včetně konfigurace zařízení tak, aby splňovalo konkrétní cíle, jako je zabezpečení. Onboarding má vliv jenom na služby, které se vztahují.
Doporučená metoda Microsoft Entra připojení automaticky zaregistruje zařízení do Intune. Intune je upřednostňovanou metodou onboardingu zařízení do programu Windows Defender for Endpoint a následně funkcí Microsoft Purview.

Zařízení, která jsou onboardována k funkcím Microsoft Purview pomocí jiných metod, se automaticky nezaregistrují pro Defender for Endpoint.
Jiné metody Další metody registrace závisí na platformě zařízení a na tom, jestli je zařízení byOD nebo spravované vaší organizací. Mezi další metody připojování zařízení patří v doporučeném pořadí:
  • Správce konfigurace
  • Jiný nástroj pro správu mobilních zařízení (pokud je zařízení spravováno jedním z nich)
  • Místní skript
  • Konfigurační balíček VDI pro onboarding zařízení infrastruktury virtuálních klientských počítačů (VDI)
  • Zásady skupiny
    		•

    Výuka pro správce

    Následující zdroje informací pomáhají správcům seznámit se s koncepty používání Intune:

    • Zjednodušení správy zařízení pomocí školicího modulu Microsoft Intune

      Přečtěte si, jak řešení pro správu firmy prostřednictvím Microsoftu 365 poskytují uživatelům zabezpečené a přizpůsobené desktopové prostředí a pomáhají organizacím snadno spravovat aktualizace pro všechna zařízení se zjednodušeným prostředím pro správu.

    • Vyhodnocení Microsoft Intune

      Microsoft Intune pomáhá chránit zařízení, aplikace a data, která lidé ve vaší organizaci používají k zajištění produktivity. V tomto článku se dozvíte, jak nastavit Microsoft Intune. Součástí instalace je kontrola podporovaných konfigurací, registrace Intune, přidání uživatelů a skupin, přiřazení licencí uživatelům, udělení oprávnění správce a nastavení autority pro mobilní Správa zařízení (MDM).

    Další krok

    Přejděte na krok 1. Implementujte zásady ochrany aplikací.