Přehled správy zařízení pomocí Intune

  • Článek

Základní součástí zabezpečení na podnikové úrovni je správa a ochrana zařízení. Správa zařízení je součástí strategie, ať už vytváříte nulová důvěra (Zero Trust) architekturu zabezpečení, posílení svého prostředí proti ransomwaru nebo vytváříte ochranu pro podporu vzdálených pracovníků. I když Microsoft 365 obsahuje několik nástrojů a metodologií pro správu a ochranu zařízení, tyto pokyny vás provedou doporučeními Microsoftu s využitím Microsoft Intune. Toto je pro vás ten správný návod, pokud:

  • Naplánujte registraci zařízení do Intune prostřednictvím připojení Microsoft Entra (včetně Microsoft Entra hybridního připojení).
  • Naplánujte ruční registraci zařízení do Intune.
  • Povolte zařízením BYOD plány na implementaci ochrany aplikací a dat nebo jejich registraci do Intune.

Na druhou stranu, pokud vaše prostředí obsahuje plány pro spolusprávu včetně Microsoft Configuration Manager, přečtěte si dokumentaci ke spolusprávě, kde najdete nejlepší cestu pro vaši organizaci. Pokud vaše prostředí zahrnuje plány Windows 365 Cloud PC, přečtěte si Windows 365 Enterprise dokumentaci, kde najdete nejlepší cestu pro vaši organizaci.

Podívejte se na toto video s přehledem procesu nasazení.

Proč spravovat koncové body?

Moderní podnik má neuvěřitelnou rozmanitost koncových bodů, které přistupují k datům. Toto nastavení vytváří prostor pro masivní útoky, a proto se koncové body můžou snadno stát nejslabším článkem ve vaší strategii zabezpečení nulová důvěra (Zero Trust).

Vzhledem k tomu, že se svět přesunul na model vzdálené nebo hybridní práce, uživatelé pracují z libovolného místa, z libovolného zařízení a více než kdykoliv v historii. Útočníci rychle upravují svoji taktiku, aby tuto změnu využili. Mnoho organizací se při procházení těchto nových obchodních výzev potýká s omezenými prostředky. Prakticky přes noc společnosti urychlily digitální transformaci. Jednoduše řečeno, způsob práce lidí se změnil. Už neočekáváme, že budeme přistupovat k nesčetným firemním prostředkům jenom z kanceláře a na zařízeních vlastněných společností.

Získání přehledu o koncových bodech, které přistupují k podnikovým prostředkům, je prvním krokem ve strategii nulová důvěra (Zero Trust) zařízení. Společnosti obvykle aktivně chrání počítače před ohroženími zabezpečení a útoky, zatímco mobilní zařízení často nejsou monitorovaná a bez ochrany. Abychom zajistili, že vaše data nevystavujete rizikům, musíme monitorovat rizika v každém koncovém bodu a používat podrobné řízení přístupu, abychom zajistili odpovídající úroveň přístupu na základě zásad organizace. Pokud má například osobní zařízení jailbreak, můžete přístup zablokovat, abyste zajistili, že podnikové aplikace nebudou vystavené známým ohrožením zabezpečení.

Tato série článků vás provede doporučeným procesem správy zařízení, která přistupují k vašim prostředkům. Pokud budete postupovat podle doporučených kroků, vaše organizace dosáhne velmi sofistikované ochrany pro vaše zařízení a prostředky, ke kterým přistupuje.

Implementace vrstev ochrany na zařízeních a pro zařízení

Ochrana dat a aplikací na zařízeních a samotných zařízeních je vícevrstvé. Na nespravovaných zařízeních můžete získat několik ochran. Po registraci zařízení do správy můžete implementovat sofistikovanější ovládací prvky. Když je ochrana před hrozbami nasazená napříč koncovými body, získáte ještě více přehledů a možnost automaticky napravit některé útoky. Pokud vaše organizace dala práci na identifikaci citlivých dat, použití klasifikace a popisků a konfiguraci zásad Ochrana před únikem informací Microsoft Purview, můžete získat ještě podrobnější ochranu dat na koncových bodech.

Následující diagram znázorňuje stavební bloky pro dosažení nulová důvěra (Zero Trust) stavu zabezpečení pro Microsoft 365 a další aplikace SaaS, které do tohoto prostředí zavádíte. Prvky související se zařízeními jsou očíslovány 1 až 7. Správci zařízení budou tyto vrstvy ochrany koordinovat s ostatními správci.

Desc.

Na tomto obrázku:

  Krok Popis Licenční požadavky
1 Konfigurace nulová důvěra (Zero Trust) identita počátečního bodu a zásad přístupu zařízení Ve spolupráci se správcem identity implementujte ochranu dat v zásadách ochrany aplikací (APP) úrovně 2. Tyto zásady nevyžadují správu zařízení. Zásady APLIKACE nakonfigurujete v Intune. Správce identity nakonfiguruje zásady podmíněného přístupu tak, aby vyžadovaly schválené aplikace. E3, E5, F1, F3, F5
2 Registrace zařízení k Intune Tato úloha vyžaduje více plánování a času na implementaci. Microsoft doporučuje k registraci zařízení používat Intune, protože tento nástroj poskytuje optimální integraci. V závislosti na platformě existuje několik možností registrace zařízení. Zařízení s Windows se dají například zaregistrovat pomocí Microsoft Entra připojení nebo pomocí Autopilotu. Musíte zkontrolovat možnosti pro každou platformu a rozhodnout se, která možnost registrace je pro vaše prostředí nejvhodnější. Viz krok 2. Další informace získáte registrací zařízení k Intune. E3, E5, F1, F3, F5
3 Konfigurace zásad dodržování předpisů Chcete mít jistotu, že zařízení, která přistupují k vašim aplikacím a datům, splňují minimální požadavky, například zařízení jsou chráněná heslem nebo pin kódem a operační systém je aktuální. Zásady dodržování předpisů představují způsob, jak definovat požadavky, které zařízení musí splňovat. Krok 3. Nastavení zásad dodržování předpisů vám pomůže tyto zásady nakonfigurovat. E3, E5, F3, F5
4 Konfigurace podnikových (doporučeno) nulová důvěra (Zero Trust) identit a zásad přístupu k zařízením Teď, když jsou vaše zařízení zaregistrovaná, můžete ve spolupráci se správcem identity vyladit zásady podmíněného přístupu tak, aby vyžadovaly zařízení, která jsou v pořádku a dodržují předpisy. E3, E5, F3, F5
5 Nasazení konfiguračních profilů Na rozdíl od zásad dodržování předpisů zařízením, které jednoduše označí zařízení jako vyhovující nebo ne na základě konfigurovaných kritérií, konfigurační profily ve skutečnosti mění konfiguraci nastavení na zařízení. Zásady konfigurace můžete použít k posílení zabezpečení zařízení proti kybernetickým hrozbám. Viz krok 5. Nasaďte konfigurační profily. E3, E5, F3, F5
6 Monitorování rizik zařízení a dodržování předpisů pomocí standardních hodnot zabezpečení V tomto kroku připojíte Intune k Microsoft Defender for Endpoint. Díky této integraci pak můžete monitorovat riziko zařízení jako podmínku pro přístup. Zařízení, u které se zjistí, že jsou v rizikovém stavu, se zablokují. Můžete také monitorovat dodržování předpisů se standardními hodnotami zabezpečení. Viz krok 6. Monitorujte rizika zařízení a dodržování předpisů podle standardních hodnot zabezpečení. E5, F5
7 Implementace ochrany před únikem informací (DLP) s využitím možností ochrany informací Pokud vaše organizace pracuje na identifikaci citlivých dat a označování dokumentů, můžete na ochraně citlivých informací a dokumentů na svých zařízeních spolupracovat se správcem ochrany informací. Doplněk pro dodržování předpisů E5, F5

Koordinace správy koncových bodů pomocí nulová důvěra (Zero Trust) identit a zásad přístupu zařízení

Tyto pokyny jsou úzce koordinovány s doporučenými nulová důvěra (Zero Trust) zásadami přístupu k identitám a zařízením. Ve spolupráci s vaším týmem identit budete přenášet ochranu, kterou nakonfigurujete pomocí Intune, do zásad podmíněného přístupu v Microsoft Entra ID.

Tady je obrázek doporučené sady zásad s popisky kroků pro práci, kterou budete dělat v Intune, a souvisejících zásad podmíněného přístupu, které vám pomůžou koordinovat Microsoft Entra ID.

nulová důvěra (Zero Trust) identit a zásad přístupu zařízení.

Na tomto obrázku:

  • V kroku 1 implementace zásad ochrany aplikací úrovně 2 nakonfigurujete doporučenou úroveň ochrany dat pomocí zásad APLIKACE. Pak ve spolupráci s týmem identit nakonfigurujete související pravidlo podmíněného přístupu tak, aby vyžadovalo použití této ochrany.
  • V krocích 2, 3 a 4 zaregistrujete zařízení do správy pomocí Intune, definujete zásady dodržování předpisů zařízením a pak se s týmem identit dokoordinujete a nakonfigurujete související pravidlo podmíněného přístupu tak, aby umožňovalo přístup jenom k zařízením vyhovujícím předpisům.

Registrace zařízení vs. onboarding zařízení

Pokud budete postupovat podle těchto pokynů, zaregistrujete zařízení do správy pomocí Intune a onboardujete zařízení pro následující funkce Microsoftu 365:

  • Microsoft Defender for Endpoint
  • Microsoft Purview (pro ochranu před únikem informací koncového bodu))

Následující obrázek podrobně popisuje, jak to funguje pomocí Intune.

Proces registrace a onboardingu zařízení

Na obrázku:

  1. Registrace zařízení do správy pomocí Intune.
  2. Intune použijte k onboardingu zařízení do Defenderu for Endpoint.
  3. Zařízení, která jsou onboardovaná do Defenderu for Endpoint, jsou také onboardována pro funkce Microsoft Purview, včetně ochrany před únikem informací o koncovém bodu.

Mějte na paměti, že zařízení spravuje jenom Intune. Onboarding označuje schopnost zařízení sdílet informace s konkrétní službou. Následující tabulka shrnuje rozdíly mezi registrací zařízení do správy a onboardingem zařízení pro konkrétní službu.

  Zapsat Onboard
Popis Registrace se vztahuje na správu zařízení. Zařízení jsou zaregistrovaná pro správu pomocí Intune nebo Configuration Manager. Onboarding nakonfiguruje zařízení tak, aby fungovalo s konkrétní sadou funkcí v Microsoftu 365. V současné době se onboarding vztahuje na možnosti dodržování předpisů Microsoft Defender for Endpoint a Microsoftu.

Na zařízeních s Windows onboarding zahrnuje přepnutí nastavení v Windows Defender, které umožňuje Defenderu připojit se k online službě a přijmout zásady, které se vztahují na zařízení.
Rozsah Tyto nástroje pro správu zařízení spravují celé zařízení, včetně konfigurace zařízení tak, aby splňovalo konkrétní cíle, jako je zabezpečení. Onboarding má vliv jenom na služby, které se vztahují.
Doporučená metoda Microsoft Entra připojení automaticky zaregistruje zařízení do Intune. Intune je upřednostňovanou metodou onboardingu zařízení, která Windows Defender pro koncový bod, a následně funkce Microsoft Purview.

Mějte na paměti, že zařízení, která jsou onboardována k funkcím Microsoft Purview pomocí jiných metod, nejsou automaticky zaregistrovaná pro Defender for Endpoint.
Jiné metody Další metody registrace závisí na platformě zařízení a na tom, jestli je zařízení byOD nebo spravované vaší organizací. Mezi další metody připojování zařízení patří v doporučeném pořadí:
  • Správce konfigurace
  • Jiný nástroj pro správu mobilních zařízení (pokud je zařízení spravováno jedním z nich)
  • Místní skript
  • Konfigurační balíček VDI pro onboarding zařízení infrastruktury virtuálních klientských počítačů (VDI)
  • Zásady skupiny
    		•

    Výuka pro správce

    Následující zdroje informací pomáhají správcům seznámit se s koncepty používání Intune.

    • Zjednodušení správy zařízení pomocí školicího modulu Microsoft Intune

      Zjistěte, jak řešení pro správu firem prostřednictvím Microsoftu 365 poskytují uživatelům zabezpečené a přizpůsobené desktopové prostředí a pomáhají organizacím snadno spravovat aktualizace pro všechna zařízení pomocí zjednodušeného prostředí pro správu.

    • Vyhodnocení Microsoft Intune

      Microsoft Intune pomáhá chránit zařízení, aplikace a data, která lidé ve vaší organizaci používají k zajištění produktivity. V tomto článku se dozvíte, jak nastavit Microsoft Intune. Součástí instalace je kontrola podporovaných konfigurací, registrace Intune, přidání uživatelů a skupin, přiřazení licencí uživatelům, udělení oprávnění správce a nastavení autority pro mobilní Správa zařízení (MDM).

    Další krok

    Přejděte na krok 1. Implementujte zásady ochrany aplikací.