Megosztás a következőn keresztül:

Védelmi és konfigurációs szintek a Microsoft Intune-ban

  • Cikk

A Microsoft Intune lehetővé teszi a rendszergazdák számára a felhasználókra, eszközökre és alkalmazásokra alkalmazott szabályzatok létrehozását. Ezek a szabályzatok a minimális beállítástól a biztonságosabb vagy szabályozottabb szabályzatokig terjedhetnek. Ezek a szabályzatok a szervezet igényeitől, a használt eszközöktől és az eszközöktől függenek.

Ha készen áll a szabályzatok létrehozására, a különböző védelmi és konfigurációs szinteket használhatja:

A környezet és az üzleti igények különböző szinteket definiálhatnak. Ezeket a szinteket kiindulási pontként használhatja, majd igényeinek megfelelően testre szabhatja őket. Használhatja például az eszközkonfigurációs szabályzatokat az 1. szinten, az alkalmazásházirendeket pedig a 3. szinten.

Válassza ki a szervezete számára megfelelő szinteket. Nincs rossz választás.

1. szint – Minimális védelem és konfigurálás

Ez a szint tartalmazza azokat a szabályzatokat, amelyekkel minden szervezetnek rendelkeznie kell legalább. Az ezen a szinten található szabályzatok minimális alapkonfigurációt hoznak létre a biztonsági funkciókhoz, és hozzáférést biztosítanak a felhasználóknak a munkájuk elvégzéséhez szükséges erőforrásokhoz.

Alkalmazások (1. szint)

Ez a szint ésszerű mértékű adatvédelmi és hozzáférési követelményeket támaszt, és minimalizálja a végfelhasználók fennakadásait. Ez a szint biztosítja, hogy az alkalmazások pin-kóddal & alapszintű titkosítással legyenek védve, és szelektív törlési műveleteket futtassunk. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközök hitelesítését. Ez a szint egy bejegyzésszintű konfiguráció, amely hasonló adatvédelmi vezérlőt biztosít az Exchange Online postaláda-házirendjeiben. Emellett az informatikai és a végfelhasználók számára is bevezeti az alkalmazásvédelmi szabályzatokat.

Ebben a szinten a Microsoft azt javasolja, hogy konfigurálja a következő védelmet és hozzáférést az alkalmazásokhoz:

  • Alapvető adatvédelmi követelmények engedélyezése

    • Alkalmazás alapszintű adatátvitelének engedélyezése
    • Alapszintű alkalmazástitkosítás kényszerítése
    • Alapvető hozzáférési funkciók engedélyezése

  • Alapvető hozzáférési követelmények engedélyezése

    • PIN-kód, arcazonosító és biometrikus hozzáférés megkövetelése
    • Alapvető hozzáférési beállítások támogatásának kényszerítése

  • Alapszintű feltételes alkalmazásindítás engedélyezése

    • Alkalmazás alapszintű hozzáférési kísérleteinek konfigurálása
    • Alkalmazáshozzáférés letiltása feltört/feltört eszközök alapján
    • Alkalmazáshozzáférés korlátozása az eszközök alapvető integritása alapján

További információt az 1. szintű alapszintű alkalmazásvédelem című témakörben talál.

Megfelelőség (1. szint)

Ebben a szinten az eszközmegfelelés az összes eszközre vonatkozó bérlői szintű beállításokat konfigurálja. Emellett minimális megfelelőségi szabályzatokat is telepíthet az összes eszközre, hogy kikényszerítse a megfelelőségi követelmények alapvető készletét.

A Microsoft azt javasolja, hogy ezek a konfigurációk legyenek érvényben, mielőtt engedélyezi az eszközök számára a szervezet erőforrásainak elérését. Az 1. szintű eszközmegfelelés a következőket tartalmazza:

  • A megfelelőségi szabályzat beállításai néhány bérlői szintű beállítás, amelyek befolyásolják az Intune megfelelőségi szolgáltatás és az eszközök közötti működést.

  • A platformspecifikus megfelelőségi szabályzatok platformfüggetlen témákra vonatkozó beállításokat tartalmaznak. A beállítás tényleges neve és implementációja a különböző platformoktól függően változhat:

    • Víruskereső, kéményirtó és kártevőirtó megkövetelése (csak Windows esetén)
    • Operációs rendszer verziója
      • Operációs rendszer maximális száma
      • Operációs rendszer minimális száma
      • Alverziók és főverziók
      • Operációsrendszer-javítási szintek
    • Jelszókonfigurációk
      • Zárolási képernyő kényszerítése inaktivitás után, jelszó vagy pin-kód megkövetelése a zárolás feloldásához
      • Összetett jelszavak megkövetelése betűk, számok és szimbólumok kombinációjával
      • Jelszó vagy PIN-kód megkövetelése az eszközök zárolásának feloldásához
      • Jelszó minimális hosszának megkövetelése

  • A meg nem felelési műveleteket a rendszer automatikusan belefoglalja az egyes platformspecifikus szabályzatok közé. Ezek a műveletek egy vagy több konfigurált, időrendbe rendezett művelet. Azokra az eszközökre vonatkoznak, amelyek nem felelnek meg a szabályzat megfelelőségi követelményeinek. Alapértelmezés szerint az eszközök nem megfelelőként való megjelölése azonnali művelet, amely minden szabályzathoz tartozik.

További információ: 1. szint – Minimális eszközmegfelelés.

Eszközkonfiguráció (1. szint)

Ezen a szinten a profilok olyan beállításokat tartalmaznak, amelyek a biztonságra és az erőforrás-hozzáférésre összpontosítanak. Ebben a szinten a Microsoft a következő funkciók konfigurálását javasolja:

  • Alapvető biztonság engedélyezése, beleértve a következőket:

    • Víruskereső és vizsgálat
    • Fenyegetésészlelés és -reagálás
    • Tűzfal
    • Szoftverfrissítések
    • Erős PIN-kód- és jelszószabályzat

  • Hozzáférés biztosítása a felhasználóknak a hálózathoz:

    • E-mail
    • VPN táveléréshez
    • Wi-Fi helyszíni hozzáféréshez

További információt a 4. lépés – Eszközkonfigurációs profilok létrehozása az eszközök védelméhez és a szervezeti erőforrásokhoz való kapcsolatok létrehozásához című témakörben talál.

2. szint – Fokozott védelem és konfigurálás

Ez a szint a házirendek minimális készletére is kiterjed, így nagyobb biztonságot és a mobileszköz-kezelést is kiterjeszti. Az ezen a szinten található szabályzatok több funkciót biztosítanak, identitásvédelmet biztosítanak, és további eszközbeállításokat kezelnek.

Az ezen a szinten található beállításokkal adhatja meg az 1. szinten konfigurált beállításokat.

Alkalmazások (2. szint)

Ez a szint az alkalmazásvédelem szabványos szintjét javasolja az olyan eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ez a szint alkalmazásvédelmi szabályzatok adatszivárgás-megelőzési mechanizmusait és minimális operációsrendszer-követelményeket vezet be. Ez a szint az a konfiguráció, amely a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére érvényes.

Az 1. szintű beállítások mellett a Microsoft a következő védelmet és hozzáférést javasolja az alkalmazásokhoz:

  • Fokozott adatvédelmi követelmények engedélyezése

    • Szervezettel kapcsolatos adatok átvitele
    • A kijelölt alkalmazások adatátviteli követelményei (iOS/iPadOS) kivételei
    • Távközlési adatok átvitele
    • Kivágás, másolás és beillesztés korlátozása alkalmazások között
    • Képernyőfelvétel letiltása (Android)

  • Továbbfejlesztett feltételes alkalmazásindítás engedélyezése

    • Alkalmazásfiókok letiltása
    • Eszköz operációs rendszerének minimális követelményeinek kényszerítése
    • Minimális javításverzió megkövetelése (Android)
    • Play integrity verdict evaluation type (Android) megkövetelése
    • Eszközzárolás megkövetelése (Android)
    • Alkalmazáshozzáférés engedélyezése az eszköz nagyobb integritása alapján

További információért tekintse meg a 2. szintű továbbfejlesztett alkalmazásvédelmet ismertető témakört.

Megfelelőség (2. szint)

Ezen a szinten a Microsoft azt javasolja, hogy adjon hozzá részletesebb beállításokat a megfelelőségi szabályzatokhoz. Ezen a szinten számos beállítás platformspecifikus névvel rendelkezik, amelyek hasonló eredményeket adnak. Az alábbiakban azokat a kategóriákat vagy beállítástípusokat soroljuk fel, amelyeket a Microsoft ajánlott használni, amikor elérhetők:

  • Alkalmazások

    • Kezelheti, hogy az eszközök hol kapnak alkalmazásokat, például a Google Play for Androidot
    • Alkalmazások engedélyezése adott helyekről
    • Ismeretlen forrásokból származó alkalmazások letiltása

  • Tűzfalbeállítások

    • Tűzfalbeállítások (macOS, Windows)

  • Titkosítás

    • Adattárolás titkosításának megkövetelése
    • BitLocker (Windows)
    • FileVault (macOS)

  • Jelszavak

    • Jelszó lejárata és újbóli felhasználása

  • Rendszerszintű fájl- és rendszerindítás-védelem

    • USB-hibakeresés letiltása (Android)
    • Feltört vagy feltört eszközök letiltása (Android, iOS)
    • Rendszerintegritási védelem megkövetelése (macOS)
    • Kódintegritás megkövetelése (Windows)
    • Biztonságos rendszerindítás engedélyezésének megkövetelése (Windows)
    • Platformmegbízhatósági modul (Windows)

További információ: 2. szint – Továbbfejlesztett eszközmegfelelési beállítások.

Eszközkonfiguráció (2. szint)

Ebben a szinten az 1. szinten konfigurált beállításokat és szolgáltatásokat bővíti. A Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:

  • Adjon hozzá egy újabb biztonsági réteget a lemeztitkosítás, a biztonságos rendszerindítás és a platformmegbízhatósági modul (TPM) engedélyezésével az eszközökön.
  • Konfigurálja a PIN-eket & jelszavakat úgy, hogy lejárjanak, és kezelhessék, ha/amikor a jelszavak újra felhasználhatók.
  • Részletesebb eszközfunkciókat, -beállításokat és -viselkedéseket konfigurál.
  • Állapítsa meg, hogy vannak-e elérhető helyszíni csoportházirend-objektumok (GPO-k) az Intune-ban.

Az ezen a szinten található eszközkonfigurációs szabályzatokról további információt a 2. szint – Fokozott védelem és konfigurálás című témakörben talál.

3. szint – Magas szintű védelem és konfigurálás

Ez a szint vállalati szintű szabályzatokat is tartalmaz, és a szervezet különböző rendszergazdáit is bevonhatja. Ezek a szabályzatok tovább lépnek a jelszó nélküli hitelesítésre, nagyobb biztonsággal rendelkeznek, és speciális eszközöket konfigurálnak.

Az ezen a szinten található beállításokkal adhatja meg az 1. és a 2. szinten konfigurált beállításokat.

Alkalmazások (3. szint)

Ez a szint az alkalmazásvédelem szabványos szintjét javasolja az olyan eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ez a szint fejlett adatvédelmet, továbbfejlesztett PIN-konfigurációt és alkalmazásvédelmi szabályzatot vezet be a Mobile Threat Defense használatával. Ez a konfiguráció olyan felhasználók számára készült, amelyek magas kockázatú adatokhoz férnek hozzá.

Az 1. és 2. szintű beállítások mellett a Microsoft a következő védelmet és hozzáférést javasolja az alkalmazásokhoz:

  • Magas adatvédelmi követelmények engedélyezése

    • Magas szintű védelem a telekommunikációs adatok átvitele során
    • Adatok fogadása csak szabályzattal felügyelt alkalmazásokból
    • Adatok szervezeti dokumentumokba való megnyitásának letiltása
    • A felhasználók megnyithatják a kijelölt szolgáltatásokból származó adatokat
    • Nem kívánt partner vagy nem Microsoft-billentyűzetek letiltása
    • Jóváhagyott billentyűzetek megkövetelése/kiválasztása (Android)
    • Szervezeti adatok nyomtatásának letiltása

  • Magas hozzáférési követelmények engedélyezése

    • Egyszerű PIN-kód letiltása, és a PIN-kód minimális hosszának megkövetelése
    • PIN-kód alaphelyzetbe állításának megkövetelése ennyi nap után
    • A 3. osztályú biometrikus adatok megkövetelése (Android 9.0+)
    • Biometriai adatok felülbírálása PIN-kóddal a biometrikus frissítések után (Android)

  • Magas feltételes alkalmazásindítás engedélyezése

    • Eszközzárolás megkövetelése (Android)
    • Maximálisan engedélyezett fenyegetésszint megkövetelése
    • Az operációs rendszer maximális verziójának megkövetelése

További információért tekintse meg a 3. szintű magas szintű alkalmazásvédelmet ismertető témakört.

Megfelelőség (3. szint)

Ezen a szinten a következő képességekkel bővítheti az Intune beépített megfelelőségi funkcióit:

  • Mobile Threat Defense- (MTD-) partner adatainak integrálása

    • Az MTD-partnerekkel a megfelelőségi szabályzatok megkövetelhetik, hogy az eszközök az adott partner által meghatározott eszközfenyegetettségi szintenvagy alatt legyenek, vagy azok alatt legyenek.

  • Használjon nem Microsoft-megfelelőségi partnert az Intune-nal.

  • Szkriptek használatával egyéni megfelelőségi beállításokat adhat a szabályzatokhoz az Intune felhasználói felületén nem elérhető beállításokhoz. (Windows, Linux)

  • A megfelelőségi szabályzat adatainak feltételes hozzáférési szabályzatokkal való használatával kaput nyithat a szervezet erőforrásaihoz.

További információ: 3. szint – Speciális eszközmegfelelési konfigurációk.

Eszközkonfiguráció (3. szint)

Ez a szint a nagyvállalati szintű szolgáltatásokra és funkciókra összpontosít, és infrastruktúra-befektetést igényelhet. Ezen a szinten olyan szabályzatokat hozhat létre, amelyek:

  • Bontsa ki a jelszó nélküli hitelesítést a szervezet más szolgáltatásaira, beleértve a tanúsítványalapú hitelesítést, az egyszeri bejelentkezést az alkalmazásokhoz, a többtényezős hitelesítést (MFA) és a Microsoft Tunnel VPN Gatewayt.

  • Bontsa ki a Microsoft Tunnelt a Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) üzembe helyezésével, amely kiterjeszti az alagút támogatását az Intune-ban nem regisztrált iOS- és Android-eszközökre. A TUNNEL for MAM intune-bővítményként érhető el.

    További információt az Intune Suite bővítményfunkcióinak használata című témakörben talál.

  • Konfigurálja a Windows belső vezérlőprogram rétegére vonatkozó eszközszolgáltatásokat. Használja az Android általános feltételmódot.

  • A Windows helyi rendszergazdai jelszómegoldáshoz (LAPS) készült Intune-házirenddel biztonságossá teheti a beépített helyi rendszergazdai fiókot a felügyelt Windows-eszközökön.

    További információt a Windows LAPS-hez készült Intune-támogatás című témakörben talál.

  • Windows-eszközök védelme a Végponti jogosultságkezelés (EPM) használatával. Az EPM segítségével a szervezet felhasználóit normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatja, és lehetővé teszi, hogy ugyanezek a felhasználók emelt szintű jogosultságokat igénylő feladatokat végezzenek el.

    Az EPM intune-bővítményként érhető el. További információt az Intune Suite bővítményfunkcióinak használata című témakörben talál.

  • Speciális eszközök, például kioszkok és megosztott eszközök konfigurálása.

  • Szükség esetén helyezzen üzembe szkripteket.

Az ezen a szinten található eszközkonfigurációs szabályzatokról további információt a 3. szint – Magas szintű védelem és konfigurálás című témakörben talál.

Kapcsolódó cikk

A létrehozható eszközkonfigurációs profilok teljes listáját a Szolgáltatások és beállítások alkalmazása az eszközökön eszközprofilok használatával a Microsoft Intune-ban című témakörben találja.