שתף באמצעות

ניהול מכשירים באמצעות Intune אישית

  • מאמר

רכיב מרכזי של אבטחה ברמת הארגון כולל ניהול והגנה על מכשירים. בין אם אתה בונה ארכיטקטורת אפס אמון אישית, מקשה על הסביבה שלך מפני תוכנות כופר, או בונה בהגנות כדי לתמוך בעובדים מרוחקים, ניהול מכשירים מהווה חלק מהאסטרטגיה. למרות ש- Microsoft 365 כולל כמה כלים ותודולוגיות לניהול והגנה על מכשירים, הדרכה זו תנחה אותך בהמלצות של Microsoft באמצעות Microsoft Intune. זוהי ההדרכה המתאימה לך אם:

  • תכנן לרשום מכשירים ל- Intune באמצעות Microsoft Entra (כולל Microsoft Entra היברידי).
  • תכנן לרשום מכשירים באופן ידני Intune.
  • אפשר למכשירי BYOD עם תוכניות ליישם הגנה עבור אפליקציות ונתונים ו/או לרשום מכשירים אלה Intune.

לעומת זאת, אם הסביבה שלך כוללת תוכניות לניהול משותפות, כולל Microsoft Configuration Manager, ראה תיעוד ניהול משותפת כדי לפתח את הנתיב הטוב ביותר עבור הארגון שלך. אם הסביבה שלך כוללת תוכניות מחשב ענן של Windows 365, עיין Windows 365 Enterprise תיעוד כדי לפתח את הנתיב הטוב ביותר עבור הארגון שלך.

צפה בסרטון וידאו זה לקבלת מבט כולל על תהליך הפריסה.

מדוע לנהל נקודות קצה?

לארגונים המודרניים יש מגוון עצום של נקודות קצה הנגישות לנתונים שלהם. הגדרה זו יוצרת משטח תקיפה מסיבי, כתוצאה מכך, נקודות קצה יכולות בקלות להפוך לקישור החלש ביותר באסטרטגיית האבטחה אפס אמון שלך.

בדרך כלל מונחה על ידי צורך כאשר העולם חוצה למודל עבודה מרחוק או היברידי, המשתמשים עובדים מכל מקום, מכל מכשיר, יותר מכל זמן בהיסטוריה. התוקפים מכוונים במהירות את הטקטיקות שלהם כדי לנצל שינוי זה. ארגונים רבים להתמודד עם משאבים מוגבלים בזמן שהם מנווטים באתגרים עסקיים חדשים אלה. במשך הלילה כמעט, חברות האיצו את השינוי הדיגיטלי. במילים פשוטות, אופן העבודה של אנשים השתנה. איננו מצפים עוד לגשת ל- myriad of corporate resources only from the office and on company-owned devices.

השגת ניראות של נקודות הקצה הנגישות למשאבי החברה שלך היא השלב הראשון באסטרטגיית אפס אמון המכשיר. בדרך כלל, חברות יזומות בהגנה על מחשבים מפני פגיעויות ותקיפות, בעוד שמכשירים ניידים לעתים קרובות לא מנוטרים וללא הגנות. כדי להבטיח שאינך חושף את הנתונים שלך לסיכון, עלינו לנטר כל נקודת קצה כדי לאתר סיכונים ולבצע שימוש בפקדי גישה פרטניים כדי לספק את רמת הגישה המתאימה בהתבסס על מדיניות ארגונית. לדוגמה, אם מכשיר אישי נפרם, באפשרותך לחסום גישה כדי לוודא שאפליקציות ארגוניות אינן חשופות פגיעויות ידועות.

סידרה זו של מאמרים מנחה בתהליך מומלץ לניהול מכשירים הלגשת למשאבים שלך. אם תעקוב אחר השלבים המומלצים, הארגון שלך ישיג הגנה מתוחכמת מאוד עבור המכשירים שלך ומשאבים שהם ניגשים אליהם.

הטמעת שכבות ההגנה במכשירים ובמכשירים

הגנה על הנתונים והאפליקציות במכשירים ובמכשירים עצמם היא תהליך רב-שכבתי. יש כמה הגנות שתוכל להשיג במכשירים לא מנוהלים. לאחר רישום מכשירים לניהול, באפשרותך ליישם פקדים מתוחכמים יותר. כאשר הגנה מפני איומים נפרסת בכל נקודות הקצה שלך, אתה משיג תובנות נוספות ואת היכולת לתקן באופן אוטומטי חלק מהתקיפות. לבסוף, אם הארגון שלך הציב את העבודה בזיהוי נתונים רגישים, החלת סיווג ותוויות וקביעת התצורה של פריטי מניעת אובדן נתונים ב- Microsoft Purview, באפשרותך להשיג הגנה פרטנית עוד יותר עבור נתונים ב נקודות הקצה שלך.

הדיאגרמה הבאה ממחישה אבני בניין כדי להשיג אפס אמון אבטחה עבור Microsoft 365 ואפליקציות SaaS אחרות שאתה מציג לסביבה זו. הרכיבים הקשורים למכשירים ממוספרים בין 1 ל- 7. מנהלי מכשירים יתואמו עם מנהלי מערכת אחרים כדי להשלים שכבות הגנה אלה.

Desc.

באיור זה:

  שלב תיאור דרישות רישוי
1 קביעת תצורה של מדיניות אפס אמון נקודת התחלה של זהות וגישה למכשיר עבוד עם מנהל הזהויות שלך כדי ליישם הגנה על נתונים של מדיניות הגנת אפליקציות (APP) ברמה 2. פריטי מדיניות אלה אינם דורשים ניהול מכשירים. עליך לקבוע את תצורת מדיניות היישום ב- Intune. מנהל הזהויות שלך קובע את התצורה של מדיניות גישה מותנית כך שתדרוש יישומים מאושרים. E3, E5, F1, F3, F5
2 רישום מכשירים Intune פעילות זו דורשת תכנון ותזמן נוספים ליישום. Microsoft ממליצה להשתמש ב- Intune כדי לרשום מכשירים משום שמכשיר זה מספק שילוב מיטבי. קיימות כמה אפשרויות להרשמה של מכשירים, בהתאם לפלטפורמה. לדוגמה, ניתן לרשום מכשירי Windows באמצעות Microsoft Entra או באמצעות Autopilot. עליך לסקור את האפשרויות עבור כל פלטפורמה ולהחליט איזו אפשרות הרשמה היא המתאימה ביותר לסביבה שלך. ראה שלב 2. רשום מכשירים Intune לקבלת מידע נוסף. E3, E5, F1, F3, F5
3 קביעת תצורה של מדיניות תאימות ברצונך לוודא שמכשירים הלגשת לאפליקציות ולנתונים שלך עומדים בדרישות המינימליות, לדוגמה מכשירים הם מוגנים באמצעות סיסמה או באמצעות הצמדה, ומערכת ההפעלה מעודכנת. מדיניות תאימות היא הדרך להגדיר את הדרישות שהמכשירים חייבים לעמוד בה. שלב 3. הגדרת מדיניות תאימות עוזרת לך לקבוע את התצורה של פריטי מדיניות אלה. E3, E5, F3, F5
4 קביעת תצורה של מדיניות גישה אפס אמון ארגונית (מומלצת) כעת, לאחר רישום המכשירים שלך, באפשרותך לעבוד עם מנהל הזהויות כדי לכוונן מדיניות גישה מותנית כדי לדרוש מכשירים בריאים ותואם. E3, E5, F3, F5
5 פריסת פרופילי תצורה בניגוד למדיניות תאימות של מכשירים שלסמן מכשיר כתואם או לא בהתבסס על קריטריונים שאתה קובע, פרופילי תצורה למעשה משתנים את תצורת ההגדרות במכשיר. באפשרותך להשתמש במדיניות תצורה כדי להתקשות מכשירים כנגד איומי סייבר. ראה שלב 5. פריסת פרופילי תצורה. E3, E5, F3, F5
6 ניטור הסיכון והתאימות של המכשיר עם תוכניות בסיסיות של אבטחה בשלב זה, עליך להתחבר Intune ל- Microsoft Defender עבור נקודת קצה. לאחר מכן, שילוב זה מאפשר לך לנטר את סיכון המכשיר כתנה לגישה. מכשירים שנמצאים במצב מסוכן נחסמים. באפשרותך גם לנטר תאימות עם תוכניות בסיסיות של אבטחה. ראה שלב 6. נטר את הסיכון והתאימות של המכשיר ל הבסיסיות לאבטחה. E5, F5
7 יישום מניעת אובדן נתונים (DLP) עם יכולות הגנה על מידע אם הארגון שלך הציב את העבודה בזיהוי נתונים רגישים ומסמכים עם תוויות, באפשרותך לעבוד עם מנהל הגנת המידע שלך כדי להגן על מידע רגיש ומסמכים במכשירים שלך. תוספת תאימות של E5, F5

תיאום ניהול נקודות קצה אפס אמון מדיניות גישה לזהות ולמכשירים

הדרכה זו מתואמת באופן הדוק עם מדיניות אפס אמון ולמדיניות הגישה של המכשיר וזהות. תשתף פעולה עם צוות הזהויות שלך כדי לבצע את ההגנה שתקבע את תצורתו באמצעות Intune מדיניות גישה מותנית ב- Microsoft Entra מזהה.

להלן איור של ערכת המדיניות המומלצת עם הסברי שלבים עבור העבודה שתבצע ב- Intune ובמדיניות הגישה המותנה הקשורה שתסייע לך לתאם את המדיניות Microsoft Entra מזהה.

אפס אמון מדיניות גישה לזהות ולמכשיר.

באיור זה:

  • בשלב 1, יישם מדיניות הגנה על אפליקציות (אפליקציה) ברמה 2, קבע את התצורה של הרמה המומלצת של הגנה על נתונים באמצעות מדיניות אפליקציה. לאחר מכן עליך לעבוד עם צוות הזהויות כדי לקבוע את התצורה של כלל הגישה המותנה הקשור לדרוש שימוש בהגנה זו.
  • בשלבים 2, 3 ו- 4, אתה נרשם למכשירים לניהול באמצעות Intune, מגדיר מדיניות תאימות מכשירים ולאחר מכן מתאם עם צוות הזהויות שלך כדי לקבוע את התצורה של כלל הגישה המותנה הקשור לאפשר גישה למכשירים תואמים בלבד.

רישום מכשירים לעומת מכשירים לצירוף

אם תעקוב אחר הדרכה זו, תרשום מכשירים לניהול באמצעות Intune ותקלוט מכשירים עבור היכולות הבאות של Microsoft 365:

  • Microsoft Defender עבור נקודת קצה
  • Microsoft Purview (למניעת אובדן נתונים (DLP) של נקודת קצה)

האיור הבא מפרט כיצד פעולה זו פועלת באמצעות Intune.

תהליך להרשמה וצירוף של מכשירים.

באיור:

  1. רישום מכשירים לניהול באמצעות Intune.
  2. השתמש Intune כדי להוסיף מכשירים ל- Defender for Endpoint.
  3. מכשירים המחוברים ב- Defender for Endpoint מחוברים גם עבור תכונות Microsoft Purview, כולל DLP של נקודת קצה.

שים לב שרק Intune מנהל מכשירים. צירוף מתייחס ליכולת של מכשיר לשתף מידע עם שירות ספציפי. הטבלה הבאה מסכמת את ההבדלים בין רישום מכשירים למכשירי ניהול וצירוף עבור שירות ספציפי.

  הרשמה Onboard
תיאור ההרשמה חלה על ניהול מכשירים. מכשירים רשומים לניהול עם Intune או Configuration Manager. צירוף מגדיר מכשיר לעבודה עם קבוצה ספציפית של יכולות ב- Microsoft 365. בשלב זה, צירוף חל על Microsoft Defender עבור נקודת קצה תאימות של Microsoft.

במכשירי Windows, קליטת נתונים כרוכה בהחלפת הגדרה ב- Windows Defender המאפשרת ל- Defender להתחבר לשירות המקוון ולקבל פריטי מדיניות החלים על המכשיר.
טווח כלי ניהול מכשירים אלה מנהלים את המכשיר כולו, כולל קביעת התצורה של המכשיר כך שי לעמוד ביעדים ספציפיים, כגון אבטחה. צירוף משפיע רק על השירותים החלים.
שיטה מומלצת Microsoft Entra רשום מכשירים באופן אוטומטי ל- Intune. Intune היא השיטה המועדפת לצירוף מכשירים Windows Defender עבור נקודת קצה, ול כתוצאה מכך, יכולות Microsoft Purview.

שים לב שמכשירים המחוברים ליכולות של Microsoft Purview באמצעות שיטות אחרות אינם רשומים באופן אוטומטי עבור Defender for Endpoint.
שיטות אחרות שיטות הרשמה אחרות תלויות בפלטפורמה של המכשיר ובשאלה אם הוא BYOD או מנוהל על-ידי הארגון שלך. שיטות אחרות לצירוף מכשירים כוללות, לפי הסדר המומלץ:
  • Configuration Manager
  • כלי אחר לניהול מכשירים ניידים (אם המכשיר מנוהל על-ידי אחד)
  • קובץ Script מקומי
  • חבילת תצורת VDI לצירוף מכשירים לא מתמידים של תשתית שולחן עבודה וירטואלי (VDI)
  • מדיניות קבוצתית
    		•

    למידה עבור מנהלי מערכת

    המשאבים הבאים עוזרים למנהלי מערכת ללמוד מושגים לגבי השימוש Intune.

    • פשט את ניהול המכשירים באמצעות Microsoft Intune ההדרכה שלך

      למד כיצד פתרונות הניהול העסקי באמצעות Microsoft 365 מספקים לאנשים חוויית שולחן עבודה מאובטחת ומותאמת אישית ועזור לארגונים לנהל בקלות עדכונים עבור כל המכשירים עם חוויית ניהול פשוטה יותר.

    • הערך Microsoft Intune

      Microsoft Intune עוזר לך להגן על המכשירים, האפליקציות והנתונים שבהם האנשים בארגון שלך משתמשים כדי להיות פרודוקטיביים. מאמר זה מסביר כיצד להגדיר Microsoft Intune. תוכנית ההתקנה כוללת סקירה של התצורות הנתמכות, הרשמה ל- Intune, הוספת משתמשים וקבוצות, הקצאת רשיונות למשתמשים, הענקת הרשאות מנהל מערכת והגדרת רשות ניהול מכשירים (MDM).

    השלב הבא

    עבור אל שלב 1. יישום מדיניות הגנה על אפליקציות.