Améliorer la posture de sécurité avec Microsoft Intune
Pour comprendre comment améliorer le niveau de sécurité global de votre organization, il est important de passer en revue la définition de la posture de sécurité et les méthodes qui peuvent être utilisées pour la mesurer et l’améliorer. Vous pouvez mesurer l’évolution de votre posture de sécurité de la puce vers le cloud via les évaluations Confiance nulle existantes et le degré de sécurité Microsoft. Dans ce module, nous allons nous concentrer sur la façon dont la maintenance et la sécurité fonctionnent ensemble pour faire progresser continuellement votre posture de sécurité Confiance nulle basée sur le modèle de sécurité en couches Windows 11 puce-à-cloud. En particulier, nous allons apprendre à utiliser Microsoft Intune pour simplifier ce processus en cours et faire plus avec moins.
Examen des Confiance nulle
La posture de sécurité Confiance nulle se compose des principes suivants : vérifier explicitement, utiliser l’accès au privilège minimum et supposer une violation. Ces principes sont censés être reflétés dans toutes les parties de l’environnement d’un organization, notamment les identités, les points de terminaison, les réseaux, les applications, les données, l’infrastructure, l’optimisation des stratégies, l’application des stratégies et la protection contre les menaces. Ces composants d’environnement correspondent à peu près au modèle de sécurité en couches puce-à-cloud, qui permet Confiance nulle.
Examen du modèle de sécurité en couches puce-à-cloud
Le modèle puce-à-cloud représente la façon dont la sécurité matérielle et la sécurité logicielle fonctionnent ensemble pour la protection et la productivité (voir le livre de sécurité Windows 11). Maintenir vos organization protégées et productives est la mission de Windows, qui nous offre des outils tels que Microsoft Intune pour permettre Confiance nulle à partir du moment où vous accédez au cloud.
L’architecture Confiance nulle peut être représentée par des couches, comme indiqué ci-dessous :
Outre le modèle de sécurité de puce à cloud en couches pour Windows 11 que nous utilisons dans ce module, Windows en tant que système d’exploitation repose sur une base sécurisée :
Recherche offensive
Microsoft sécurise son cycle de vie de développement à l’aide de processus sécurisés, afin que Windows soit protégé de sa création. Une partie importante du processus de développement sécurisé est la collaboration avec des chercheurs du monde entier dans le cadre du programme de primes microsoft Windows Insider Preview.
Certification
Les produits Microsoft sont validés en externe par rapport aux normes et certifications de sécurité des produits réglementaires mondiales .
Sécuriser la chaîne d’approvisionnement
Windows s’appuie sur une chaîne d’approvisionnement Windows de bout en bout qui commence des case activée des développeurs aux composants tels que les puces, au microprogramme, au système d’exploitation, aux applications non-Microsoft, à la fabrication en usine, jusqu’aux mises à jour de sécurité.
Implémenter la gestion moderne des appareils
Nous vous recommandons d’utiliser la gestion moderne des appareils pour configurer les appareils de votre organization avec toutes les applications et paramètres dont vos utilisateurs ont besoin pour effectuer leur travail en toute sécurité. Windows vous permet d’utiliser des solutions de gestion des appareils modernes microsoft et non-Microsoft pour vous aider à gérer vos appareils, et la plupart de ces solutions sont compatibles avec Microsoft Intune. Ce qui était précédemment appelé Microsoft Endpoint Manager regroupe les fonctionnalités de Microsoft Intune, Configuration Manager, Endpoint Analytics, Autopilot, etc. pour vous aider à sécuriser l’accès, à protéger les données et à répondre aux risques sur tous les appareils de votre organization. Commençons par vous configurer.
Microsoft Intune
L’Microsoft Intune est une solution mobile Gestion des appareils (MDM) basée sur Confiance nulle pour vous aider à sécuriser tous les points de terminaison et à améliorer continuellement votre posture de sécurité. Il fournit une plateforme unifiée de gestion des appareils de point de terminaison dans le cloud, localement et plusieurs versions du système d’exploitation. Cette solution est une stratégie essentielle pour les environnements d’entreprise de toutes tailles qui tirent parti de modèles métier hybrides, couvrant des machines physiques et virtuelles.
Étant donné que les mises à jour de maintenance Windows vous permettront toujours de vous déplacer dans la direction optimale du modèle de maturité Confiance nulle, Microsoft Intune vous aidera à les déployer et à les surveiller dans votre patrimoine hybride.
Pour implémenter la gestion moderne des appareils via Microsoft Intune, nous allons joindre vos appareils à Microsoft Entra ID et configurer ou passer à Microsoft Intune. Ensuite, nous allons présenter des méthodes permettant de sécuriser et de gérer votre population d’appareils.
Joindre ou inscrire des appareils avec Microsoft Entra ID
Microsoft Entra ID est un service d’identité basé sur le cloud. Vous pouvez l’utiliser pour gérer les identités, les répertoires et pour protéger les ressources et les applications auxquelles vos utilisateurs doivent accéder.
Windows dispose de paramètres intégrés que vous pouvez utiliser pour synchroniser et ajouter les comptes d’utilisateur de votre organization à Microsoft Entra ID. Utilisez le guide de déploiement pour planifier votre parcours de jointure d’appareil Microsoft Entra. Ensuite, utilisez ses contrôles de sécurité granulaires, que nous allons couvrir dans les unités suivantes :
- Authentification unique
- Authentification multifacteur
- Stratégies d’accès conditionnel
- Protection des identités
- Gouvernance des identités
- Privileged identity management
De cette façon, vous pouvez fournir un accès sécurisé, l’authentification unique pour les applications et les services, ainsi que la gestion des identités, quel que soit l’emplacement à partir duquel vos utilisateurs peuvent travailler.
Configurer ou déplacer vers Microsoft Intune
Utilisez le guide de planification et de déploiement pour Microsoft Intune. Si votre organization détient une licence Windows pour Enterprise Mobility + Security (EMS) ou Microsoft 365, Intune fait automatiquement partie de votre service. Dans tous les autres cas, il peut être ajouté séparément. Vérifiez que votre compte a été délégué Intune privilèges Administration service.
Il existe plusieurs méthodes pour inscrire vos appareils dans Intune, notamment les suivantes :
- Utilisez Windows Autopilot pour automatiser Microsoft Entra rejoindre et inscrire de nouveaux appareils d’entreprise dans Intune via une expérience simplifiée et prête à l’emploi.9 Déployez des PC d’entreprise sur des employés distants, préconfigurés avec des stratégies de sécurité d’entreprise. Configurez et préconfigurez rapidement de nouveaux appareils, réaffectez les appareils et récupérez les appareils.
- Activez l’inscription automatique dans Microsoft Entra joindre ou inscrire automatiquement des appareils avec Microsoft Entra jointure hybride.
- Inscrivez en bloc un grand nombre de nouveaux appareils appartenant à l’entreprise pour Microsoft Entra ID et Intune.
- Inscrivez vos appareils gérés Configuration Manager existants dans Configuration Manager cogestion.
Dans ce module, nous allons activer ou configurer une sélection représentative de fonctionnalités du Windows 11 modèle de sécurité en couches puce-à-cloud pour faire progresser la posture de sécurité de votre organization. Les outils Microsoft Intune s’appliquent à chacun des niveaux de sécurité pour simplifier la gestion de votre stratégie de sécurité. Nous allons donc faire progresser votre posture de sécurité une fonctionnalité à la fois. Alors que nous faisons référence à la structure familière de puce à cloud établie dans le livre de sécurité Windows 11, dans ce module, nous allons utiliser l’ordre inverse, étant donné que les services cloud sont mappés sur tous les piliers Confiance nulle et que c’est de là que vient notre solution de gestion.
