Jaa

Laitteiden hallinta Intune yleiskatsauksella

  • Artikkeli

Yritystason suojauksen ydinosa sisältää laitteiden hallinnan ja suojaamisen. Olitpa sitten rakentamassa Zero Trust -suojausmalli suojausarkkitehtuuria, koventamassa ympäristöäsi kiristyshaittaohjelmia vastaan tai rakentamassa suojauksia etätyöntekijöiden tukemiseksi, laitteiden hallinta on osa strategiaa. Vaikka Microsoft 365 sisältää useita työkaluja ja menetelmiä laitteiden hallintaan ja suojaamiseen, näissä ohjeissa käydään läpi Microsoftin suositukset Microsoft Intune avulla. Tämä on oikea ohje sinulle, jos:

  • Suunnittele laitteiden rekisteröintiä Intune Microsoft Entra liitoksen kautta (mukaan lukien Microsoft Entra hybridiliitos).
  • Suunnittele laitteiden manuaalista rekisteröintiä Intune.
  • Salli BYOD-laitteiden ottaa sovellusten ja tietojen suojaus käyttöön ja/tai rekisteröi nämä laitteet Intune.

Jos taas ympäristösi sisältää yhteishallintasuunnitelmia, kuten Microsoft Configuration Manager, katso yhteishallintadokumentaatiosta, miten voit kehittää parhaan polun organisaatiollesi. Jos ympäristösi sisältää Windows 365 Pilvitietokone suunnitelmia, katso Windows 365 Enterprise dokumentaatiosta, miten voit kehittää parhaan polun organisaatiollesi.

Katso tästä videosta käyttöönottoprosessin yleiskatsaus.

Miksi päätepisteitä hallitaan?

Modernissa yrityksessä on uskomattoman paljon päätepisteitä, jotka käyttävät tietojaan. Tämä määritys luo valtavan hyökkäysalueen, minkä seurauksena päätepisteistä voi helposti tulla Zero Trust -suojausmalli suojausstrategian heikoin linkki.

Eniten välttämättömyyden vuoksi, kun maailma siirtyi etä- tai hybridityömalliin, käyttäjät työskentelevät mistä tahansa, mistä tahansa laitteesta, enemmän kuin milloin tahansa historiassa. Hyökkääjät muokkaavat nopeasti taktiikoitaan hyödyntääkseen tämän muutoksen. Monet organisaatiot kohtaavat rajoitettuja resursseja, kun ne navigoivat näissä uusissa liiketoiminnan haasteissa. Lähes yhdessä yössä yritykset ovat vauhdittaneet digitaalista muutosta. Yksinkertaisesti mainittu tapa, jolla ihmiset työskentelevät, on muuttunut. Emme enää odota pääsevämme lukemattomiin yrityksen resursseihin vain toimistosta ja yrityksen omistamista laitteista.

Yrityksen resurssien käytön näkyvyyden hankkiminen päätepisteisiin on ensimmäinen vaihe Zero Trust -suojausmalli laitestrategiassasi. Yleensä yritykset suojaavat tietokoneita haavoittuvuuksilta ja hyökkäyksiltä, kun taas mobiililaitteet ovat usein valvomattomia ja ilman suojausta. Jotta et altista tietojasi riskeille, meidän on valvottava riskien jokaista päätepistettä ja käytettävä hajautettuja käyttöoikeuksien hallintaa, jotta voimme tarjota asianmukaisen käyttöoikeustason organisaation käytännön perusteella. Jos esimerkiksi henkilökohtainen laite on suojaukseton, voit estää käytön varmistaaksesi, että yrityssovellukset eivät altistu tunnetuille haavoittuvuuksille.

Tässä artikkelisarjassa käydään läpi suositeltu prosessi resurssejasi käyttävien laitteiden hallintaan. Jos noudatat suositeltuja vaiheita, organisaatiosi saavuttaa erittäin kehittyneen suojauksen laitteillesi ja resursseille, joita ne käyttävät.

Suojauksen tasojen toteuttaminen laitteissa ja laitteissa

Tietojen ja sovellusten suojaaminen laitteissa ja laitteissa itsessään on monikerrosprosessi. Hallitsemattomista laitteista voi saada joitakin suojauksia. Kun laitteet on rekisteröity hallintaan, voit ottaa käyttöön kehittyneempiä ohjausobjekteja. Kun uhkien suojaus otetaan käyttöön päätepisteissäsi, saat entistä enemmän merkityksellisiä tietoja ja mahdollisuuden korjata joitakin hyökkäyksiä automaattisesti. Jos organisaatiosi on määrittänyt arkaluontoisia tietoja, luokitusta ja tunnisteita sekä määrittänyt Microsoft Purview -tuotteen tietojen menetyksen esto käytäntöjä, voit saada päätepisteiden tiedoille entistä yksityiskohtaisemman suojauksen.

Seuraavassa kaaviossa havainnollistetaan peruselementit, joiden avulla saavutetaan Zero Trust -suojausmalli suojausasennus Microsoft 365:lle ja muille SaaS-sovelluksille, jotka esittelet tälle ympäristölle. Laitteisiin liittyvien elementtien numerointi on 1–7. Laitteen järjestelmänvalvojat koordinoivat toimintaansa muiden järjestelmänvalvojien kanssa näiden suojauskerrosten saavuttamiseksi.

Desc.

Tässä kuvassa:

  Vaihe Kuvaus Käyttöoikeusvaatimukset
1 Aloituspisteen Zero Trust -suojausmalli käyttäjätietojen ja laitteiden käyttökäytäntöjen määrittäminen Ota tason 2 sovellusten suojauskäytäntöjen (APP) tietosuoja käyttöön yhdessä käyttäjätietojen järjestelmänvalvojan kanssa. Nämä käytännöt eivät edellytä laitteiden hallintaa. Voit määrittää sovelluskäytännöt Intune. Käyttäjätietojen järjestelmänvalvoja määrittää ehdollisen käyttöoikeuden käytännön vaatimaan hyväksyttyjä sovelluksia. E3, E5, F1, F3, F5
2 Rekisteröi laitteet Intune Tämän tehtävän toteuttaminen vaatii enemmän suunnittelua ja aikaa. Microsoft suosittelee Intune laitteiden rekisteröintiä, koska tämä työkalu tarjoaa optimaalisen integroinnin. Laitteiden rekisteröintiin on useita vaihtoehtoja käyttöympäristön mukaan. Windows-laitteet voidaan esimerkiksi rekisteröidä käyttämällä Microsoft Entra liittymistä tai Autopilotin avulla. Sinun on tarkistettava kunkin ympäristön vaihtoehdot ja päätettävä, mikä rekisteröintivaihtoehto sopii parhaiten ympäristöösi. Katso vaihe 2. Saat lisätietoja rekisteröimään laitteet Intune. E3, E5, F1, F3, F5
3 Yhteensopivuuskäytäntöjen määrittäminen Haluat varmistaa, että sovellukset ja tiedot käyttävät laitteet täyttävät vähimmäisvaatimukset, esimerkiksi laitteet ovat salasana- tai PIN-suojattuja ja käyttöjärjestelmä on ajan tasalla. Yhteensopivuuskäytännöt ovat tapa määrittää vaatimukset, jotka laitteiden on täytettävä. Vaihe 3. Yhteensopivuuskäytäntöjen määrittäminen auttaa määrittämään nämä käytännöt. E3, E5, F3, F5
4 Määritä Yrityksen (suositus) Zero Trust -suojausmalli käyttäjätietojen ja laitteiden käyttöoikeuskäytäntöjen määrittäminen Nyt kun laitteesi on rekisteröity, voit yhdessä käyttäjätietojärjestelmänvalvojasi kanssa säätää ehdollisten käyttöoikeuksien käytäntöjä, jotta ne vaativat kunnossa olevia ja yhteensopivia laitteita. E3, E5, F3, F5
5 Kokoonpanoprofiilien käyttöönotto Toisin kuin laitteiden yhteensopivuuskäytännöt, jotka vain merkitsevät laitteen yhteensopivaksi tai eivät määritämieni ehtojen perusteella, määritysprofiilit todella muuttavat laitteen asetusten määritystä. Määrityskäytäntöjen avulla voit koventaa laitteita kyberuhkia vastaan. Katso vaihe 5. Ota kokoonpanoprofiilit käyttöön. E3, E5, F3, F5
6 Laitteen riskien ja suojauksen perustastojen vaatimustenmukaisuuden valvonta Tässä vaiheessa muodostat yhteyden Intune Microsoft Defender for Endpoint. Tämän integraation avulla voit valvoa laiteriskiä käyttöehtona. Laitteet, joiden on todettu olevan riskialttiissa tilassa, on estetty. Voit myös valvoa suojauksen perustasojen vaatimustenmukaisuutta. Katso vaihe 6. Valvo laitteen riskejä ja suojaustasojen yhteensopivuutta. E5, F5
7 Tietojen menetyksen estäminen (DLP) ja tietojen suojausominaisuudet Jos organisaatiosi on tehnyt työtä luottamuksellisten tietojen tunnistamiseksi ja asiakirjojen nimeämiseksi, voit yhdessä tietojen suojauksen järjestelmänvalvojan kanssa suojata laitteissasi olevia arkaluonteisia tietoja ja asiakirjoja. E5, F5 -yhteensopivuuslisäosa

Päätepisteiden hallinnan koordinointi Zero Trust -suojausmalli käyttäjätietojen ja laitteiden käyttökäytäntöjen kanssa

Tämä ohjeistus on tiukasti yhteensopiva suositeltujen Zero Trust -suojausmalli käyttäjätietojen ja laitteiden käyttöoikeuskäytäntöjen kanssa. Suoritat yhdessä käyttäjätietotiimisi kanssa suojausta, jonka olet määrittänyt Intune ehdollisten käyttöoikeuksien käytäntöihin Microsoft Entra ID.

Tässä on esimerkki suositellusta käytännöstä, joka sisältää vaiheittaiset kuvaselitteet työstä, jota teet Intune, ja siihen liittyvistä ehdollisista käyttöoikeuskäytännöistä, joita autat koordinoimaan Microsoft Entra ID.

Zero Trust -suojausmalli käyttäjätietojen ja laitteiden käyttökäytännöt.

Tässä kuvassa:

  • Vaiheessa 1 , Ota käyttöön tason 2 sovellusten suojauskäytännöt (APP), määrität suositellun tietosuojatason APP-käytännöillä. Tämän jälkeen voit yhdessä käyttäjätietotiimisi kanssa määrittää liittyvän ehdollisen käyttöoikeuden säännön, joka edellyttää tämän suojauksen käyttöä.
  • Vaiheissa 2, 3 ja 4 laitteet rekisteröidään hallintaan Intune avulla, määritetään laitteiden yhteensopivuuskäytännöt ja koordinoidaan sitten käyttäjätietotiimin kanssa, jotta voit määrittää liittyvän ehdollisen käyttöoikeuden säännön sallimaan vain yhteensopivien laitteiden käytön.

Laitteiden rekisteröinti vs. käyttöönottolaitteet

Jos noudatat näitä ohjeita, rekisteröit laitteet hallintaan Intune avulla ja perehdytät laitteet seuraaviin Microsoft 365 -ominaisuuksiin:

  • Microsoft Defender for Endpoint
  • Microsoft Purview (päätepistetietojen menetyksen estäminen (DLP))

Seuraavassa kuvassa kerrotaan, miten tämä toimii Intune avulla.

Laitteiden rekisteröinti- ja käyttöönottoprosessi.

Kuvassa:

  1. Laitteiden rekisteröinti hallintaan Intune avulla.
  2. Käytä Intune laitteiden käyttöönottoon Defender for Endpointissa.
  3. Laitteet, jotka on otettu käyttöön Defender for Endpointiin, lisätään myös Microsoft Purview -ominaisuuksiin, kuten päätepisteen DLP:hen.

Huomaa, että vain Intune hallitsee laitteita. Perehdytys viittaa laitteen kykyyn jakaa tietoja tietyn palvelun kanssa. Seuraavassa taulukossa on yhteenveto eroista, jotka liittyvät laitteiden rekisteröintiin tietyn palvelun hallinta- ja käyttöönottolaitteisiin.

  Rekisteröidä Onboard
Kuvaus Rekisteröinti koskee laitteiden hallintaa. Laitteet rekisteröidään hallintaa varten Intune tai Configuration Manager. Perehdyttäminen määrittää laitteen toimimaan tiettyjen Microsoft 365 -ominaisuuksien kanssa. Tällä hetkellä perehdytys koskee Microsoft Defender for Endpoint ja Microsoftin yhteensopivuusominaisuuksia.

Windows-laitteissa käyttöönottoon liittyy Windows Defenderin asetuksen vaihtaminen, joka antaa Defenderin muodostaa yhteyden verkkopalveluun ja hyväksyä laitteeseen liittyvät käytännöt.
Laajuus Nämä laitehallintatyökalut hallitsevat koko laitetta, mukaan lukien laitteen määrittäminen tiettyjen tavoitteiden, kuten suojauksen, saavuttamiseksi. Perehdytys vaikuttaa vain niihin palveluihin, joita käytetään.
Suositeltu menetelmä Microsoft Entra liittyminen rekisteröi laitteet automaattisesti Intune. Intune on ensisijainen menetelmä laitteiden käyttöönottoon Windows Defender for Endpointiin ja näin ollen Microsoft Purview -ominaisuuksiin.

Huomaa, että laitteita, jotka on otettu käyttöön Microsoft Purview -toiminnoissa muilla menetelmillä, ei rekisteröidä automaattisesti Defender for Endpointia varten.
Muut menetelmät Muut rekisteröintimenetelmät riippuvat laitteen käyttöympäristöstä ja siitä, onko kyseessä BYOD vai organisaatiosi hallinnoima. Muita laitteiden käyttöönottotapoja ovat suositellussa järjestyksessä:
  • Configuration Manager
  • Muu mobiililaitteiden hallintatyökalu (jos laitetta hallitsee yksi)
  • Paikallinen komentosarja
  • VDI-määrityspaketti ei-pysyvän näennäistyöpöydän infrastruktuurin (VDI) laitteiden käyttöönottoon
  • Ryhmäkäytäntö
    		•

    Järjestelmänvalvojien oppiminen

    Seuraavat resurssit auttavat järjestelmänvalvojia tutustumaan Intune käyttämiseen.

    • Laitehallinnan yksinkertaistaminen Microsoft Intune harjoitusmoduulin avulla

      Lue lisätietoja siitä, miten Microsoft 365:n kautta muodostetut liiketoiminnan hallintaratkaisut tarjoavat käyttäjille turvallisen ja mukautetun työpöytäkokemuksen ja auttavat organisaatioita hallitsemaan kaikkien laitteiden päivityksiä helposti yksinkertaistetulla järjestelmänvalvojakokemuksella.

    • Arvioi Microsoft Intune

      Microsoft Intune auttaa suojaamaan laitteita, sovelluksia ja tietoja, joita organisaatiosi ihmiset käyttävät tuottavana. Tässä artikkelissa kerrotaan, miten voit määrittää Microsoft Intune. Asennukseen kuuluu tuettujen määritysten tarkistaminen, rekisteröityminen Intune varten, käyttäjien ja ryhmien lisääminen, käyttöoikeuksien määrittäminen käyttäjille, järjestelmänvalvojan käyttöoikeuksien myöntäminen ja MOBIILI-Laitteiden hallinta (MDM) -myöntäjän määrittäminen.

    Seuraavat vaiheet

    Siirry vaiheeseen 1. Ota käyttöön sovellusten suojauskäytännöt.