4. lépés – Eszközfunkciók és -beállítások konfigurálása az eszközök védelméhez és az erőforrások eléréséhez
Eddig beállította a Intune-előfizetését, létrehozta az alkalmazásvédelmi szabályzatokat, és eszközmegfelelési szabályzatokat hozott létre.
Ebben a lépésben készen áll arra, hogy konfiguráljon egy minimális vagy alapkonfigurációs biztonsági és eszközfunkció-készletet, amellyel minden eszköznek rendelkeznie kell.
Ez a cikk a következőkre vonatkozik:
- Android
- iOS/iPadOS
- macOS
- A Windows
Eszközkonfigurációs profilok létrehozásakor különböző szintek és szabályzattípusok érhetők el. Ezek a szintek a Microsoft által ajánlott minimális szabályzatok. Tudja, hogy a környezet és az üzleti igények eltérőek lehetnek.
1. szint – Minimális eszközkonfiguráció: Ebben a szinten a Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:
- Összpontosítson az eszközbiztonságra, beleértve a víruskereső telepítését, az erős jelszószabályzat létrehozását és a szoftverfrissítések rendszeres telepítését.
- Hozzáférést biztosíthat a felhasználóknak a szervezeti e-mailekhez, és szabályozott biztonságos hozzáférést biztosíthat a hálózathoz, bárhol is legyenek.
2. szint – Továbbfejlesztett eszközkonfiguráció: Ebben a szinten a Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:
- Bontsa ki az eszközbiztonságot, beleértve a lemeztitkosítás konfigurálását, a biztonságos rendszerindítás engedélyezését és további jelszószabályok hozzáadását.
- A beépített funkciók és sablonok használatával további, a szervezet számára fontos beállításokat konfigurálhat, beleértve a helyszíni csoportházirend-objektumok elemzését is.
3. szint – Magas eszközkonfiguráció: Ebben a szinten a Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:
- Válthat jelszó nélküli hitelesítésre, beleértve a tanúsítványok használatát, az egyszeri bejelentkezés (SSO) alkalmazásokba való konfigurálását, a többtényezős hitelesítés (MFA) engedélyezését és a Microsoft Tunnel konfigurálását.
- További biztonsági rétegeket adhat hozzá az Android általános feltételalapú módjával, vagy DFCI-szabályzatokat hozhat létre Windows-eszközökhöz.
- A beépített funkciókkal kioszkeszközöket, dedikált eszközöket, megosztott eszközöket és más speciális eszközöket konfigurálhat.
- Meglévő rendszerhéjszkriptek üzembe helyezése.
Ez a cikk a szervezetek által használandó eszközkonfigurációs szabályzatok különböző szintjeit sorolja fel. A jelen cikkben szereplő szabályzatok többsége a szervezeti erőforrásokhoz és a biztonsághoz való hozzáférésre összpontosít.
Ezek a funkciók a felügyeleti központ Microsoft Intune eszközkonfigurációs profilokban vannak konfigurálva. Ha a profilok készen állnak, Intune telepítheti őket az eszközeire.
1. szint – A biztonsági alapkonfiguráció létrehozása
A szervezeti adatok és eszközök biztonságának megőrzése érdekében különböző házirendeket hozhat létre, amelyek a biztonságra összpontosítanak. Létre kell hoznia egy listát azokról a biztonsági funkciókról, amelyekkel az összes felhasználónak és/vagy az összes eszköznek rendelkeznie kell. Ez a lista a biztonsági alapkonfiguráció.
Az alapkonfigurációban a Microsoft a következő biztonsági szabályzatokat javasolja:
- Telepítse a víruskeresőt (AV), és rendszeresen keressen kártevőket
- Észlelés és válasz használata
- A tűzfal bekapcsolása
- Szoftverfrissítések rendszeres telepítése
- Erős PIN-kód-/jelszószabályzat létrehozása
Ez a szakasz a biztonsági szabályzatok létrehozásához használható Intune és Microsoft-szolgáltatásokat sorolja fel.
A Windows-beállítások és azok ajánlott értékeinek részletesebb listáját a Windows biztonsági alapkonfigurációi című témakörben találja.
Víruskereső és vizsgálat
✔️ Telepítse a víruskereső szoftvert, és rendszeresen keressen kártevőket
Minden eszközön telepítve kell lennie a víruskereső szoftvernek, és rendszeresen be kell keresni a kártevőket. Intune integrálható külső partner mobile threat defense (MTD) szolgáltatásokkal, amelyek AV-t és fenyegetésvizsgálatot biztosítanak. MacOS és Windows rendszeren a víruskereső és a vizsgálat be van építve a Végponthoz készült Microsoft Defender Intune.
A szabályzat beállításai:
Platform | Szabályzat típusa |
---|---|
Vállalati Android | - Mobilfenyegetés-védelmi partner – az Android-Végponthoz készült Microsoft Defender kártevőket kereshet |
iOS/iPadOS | Mobilfenyegetés-védelmi partner |
macOS | Intune Endpoint Security víruskereső profil (Végponthoz készült Microsoft Defender) |
Windows-ügyfél | - Intune biztonsági alapkonfigurációk (ajánlott)- Intune Endpoint Security víruskereső profil (Végponthoz készült Microsoft Defender) – Mobilfenyegetés-védelmi partner |
További információ ezekről a funkciókról:
- Android Enterprise:
- iOS/iPadOSMobile Threat Defense-integráció
- macOSvíruskereső szabályzat
- Windows:
Észlelés és válasz
✔️ Támadások észlelése és a fenyegetések elhárítása
Ha gyorsan észleli a fenyegetéseket, minimalizálhatja a fenyegetés hatását. Ha ezeket a szabályzatokat feltételes hozzáféréssel kombinálja, letilthatja, hogy a felhasználók és az eszközök hozzáférjenek a szervezeti erőforrásokhoz, ha fenyegetést észlel.
A szabályzat beállításai:
Platform | Szabályzat típusa |
---|---|
Vállalati Android | - Mobilfenyegetés-védelmi partner – Végponthoz készült Microsoft Defender Androidon |
iOS/iPadOS | – Mobilfenyegetés-védelmi partner – Végponthoz készült Microsoft Defender iOS/iPadOS rendszeren |
macOS | Nem érhető el |
Windows-ügyfél | - Intune biztonsági alapkonfigurációk (ajánlott) – Intune végpontészlelési és -válaszprofil (Végponthoz készült Microsoft Defender) – Mobil veszélyforrások elleni védelmi partner |
További információ ezekről a funkciókról:
- Android Enterprise:
- iOS/iPadOS:
- Windows:
Tűzfal
✔️ A tűzfal engedélyezése minden eszközön
Egyes platformok beépített tűzfallal rendelkeznek, másokon pedig külön kell telepítenie a tűzfalat. Intune integrálható külső partner mobile threat defense (MTD) szolgáltatásokkal, amelyek képesek tűzfalat kezelni androidos és iOS/iPadOS rendszerű eszközökhöz. MacOS és Windows rendszeren a tűzfalbiztonság a Végponthoz készült Microsoft Defender Intune beépített.
A szabályzat beállításai:
Platform | Szabályzat típusa |
---|---|
Vállalati Android | Mobilfenyegetés-védelmi partner |
iOS/iPadOS | Mobilfenyegetés-védelmi partner |
macOS | Intune Endpoint Security tűzfalprofil (Végponthoz készült Microsoft Defender) |
Windows-ügyfél | - Intune biztonsági alapkonfigurációk (ajánlott)– Intune Endpoint Security tűzfalprofil (Végponthoz készült Microsoft Defender) – Mobil veszélyforrások elleni védelmi partner |
További információ ezekről a funkciókról:
- Android EnterpriseMobile Threat Defense-integráció
- iOS/iPadOSMobile Threat Defense-integráció
- macOStűzfalszabályzat
- Windows:
Jelszóházirend
✔️ Erős jelszó-/PIN-kód-szabályzat létrehozása és egyszerű PIN-kódok letiltása
A PIN-ekkel feloldhatók az eszközök. A szervezeti adatokhoz hozzáférő eszközökön, beleértve a személyes tulajdonú eszközöket is, erős PIN-kódra/pin-kódra van szükség, és támogatnia kell a biometrikus adatokat az eszközök zárolásának feloldásához. A biometrikus adatok használata a jelszó nélküli megközelítés része, ami ajánlott.
Intune eszközkorlátozási profilokat használ a jelszókövetelmények létrehozásához és konfigurálásához.
A szabályzat beállításai:
Platform | Szabályzat típusa |
---|---|
Vállalati Android | Intune eszközkorlátozási profilt a következő kezeléséhez: – Eszköz jelszava – Munkahelyi profil jelszava |
AOSP | Intune eszközkorlátozási profil |
iOS/iPadOS | Intune eszközkorlátozási profil |
macOS | Intune eszközkorlátozási profil |
Windows-ügyfél | - Intune biztonsági alapkonfigurációk (ajánlott) – Intune eszközkorlátozási profil |
A konfigurálható beállítások listáját itt találja:
- Android Enterprise eszközkorlátozási profil:
- Android AOSPEszközkorlátozások profil >Eszközjelszó
- iOS-/iPadOS-eszközkorlátozásiprofil >jelszava
- macOSEszközkorlátozások profil >Jelszó
- Windows:
Szoftverfrissítések
✔️ Szoftverfrissítések rendszeres telepítése
Minden eszközt rendszeresen frissíteni kell, és szabályzatokat kell létrehozni, hogy a frissítések telepítése sikeres legyen. A legtöbb platform esetében a Intune dedikált szabályzatokkal rendelkezik, amelyek a frissítések kezelésére és telepítésére összpontosítanak.
A szabályzat beállításai:
Platform | Szabályzat típusa |
---|---|
Vállalati Android-szervezet tulajdonában lévő eszközök | Rendszerfrissítési beállítások Intune eszközkorlátozási profil használatával |
Android Enterprise személyes tulajdonú eszközök | Nem érhető el A megfelelőségi szabályzatokkal beállíthat egy minimális javítási szintet, minimális/maximális operációsrendszer-verziót és egyebeket. |
iOS/iPadOS | frissítési szabályzat Intune |
macOS | frissítési szabályzat Intune |
Windows-ügyfél | – Intune funkciófrissítési szabályzat – Intune gyorsított frissítési szabályzat |
Ezekről a funkciókról és/vagy a konfigurálható beállításokról a következő témakörben talál további információt:
- Android enterprisedevice restrictions profile >System update
- iOS/iPadOSszoftverfrissítési szabályzatok
- macOSszoftverfrissítési szabályzatok
- Windows:
1. szint – Hozzáférés a szervezeti e-mailekhez, csatlakozás VPN-hez vagy Wi-Fi
Ez a szakasz a szervezet erőforrásainak elérésére összpontosít. Ezek az erőforrások a következők:
- Email munkahelyi vagy iskolai fiókokhoz
- VPN-kapcsolat távoli kapcsolathoz
- helyszíni kapcsolat Wi-Fi
Számos szervezet telepít előre konfigurált beállításokkal rendelkező e-mail-profilokat a felhasználói eszközökre.
✔️ Automatikus csatlakozás felhasználói e-mail-fiókokhoz
A profil tartalmazza a levelezési kiszolgálóhoz csatlakozó e-mail-konfigurációs beállításokat.
A konfigurált beállításoktól függően az e-mail-profil automatikusan csatlakoztathatja a felhasználókat az e-mail-fiók egyéni beállításaihoz.
✔️ Vállalati szintű levelezőalkalmazások használata
Email profilok Intune általános és népszerű levelezőalkalmazásokat, például az Outlookot használják. A levelezőalkalmazás a felhasználói eszközökön van üzembe helyezve. Az üzembe helyezést követően üzembe helyezi az e-mail-eszköz konfigurációs profilját az e-mail-alkalmazást konfiguráló beállításokkal.
Az e-mail-eszköz konfigurációs profilja tartalmazza az Exchange-hez csatlakozó beállításokat.
✔️ Munkahelyi vagy iskolai e-mail-cím elérése
Az e-mail-profilok létrehozása az e-maileket az eszközeiken e-maileket használó felhasználókkal rendelkező szervezetek közös minimális alapszabályzata.
Intune beépített e-mail-beállítások androidos, iOS/iPadOS és Windows rendszerű ügyféleszközökhöz. Amikor a felhasználók megnyitják a levelezőalkalmazásukat, automatikusan csatlakozhatnak, hitelesíthetik és szinkronizálhatják a szervezeti e-mail-fiókjukat az eszközeiken.
✔️ Üzembe helyezés bármikor
Új eszközökön javasoljuk, hogy a regisztrációs folyamat során telepítse a levelezőalkalmazást. A regisztráció befejezése után telepítse az e-mail-eszköz konfigurációs szabályzatát.
Ha már rendelkezik eszközökkel, akkor a levelezőalkalmazást bármikor üzembe helyezheti, és üzembe helyezheti az e-mail-eszköz konfigurációs szabályzatát.
Az e-mail-profilok használatának első lépései
Első lépések:
Helyezzen üzembe egy e-mail-alkalmazást az eszközein. Útmutatásért tekintse meg az E-mail-beállítások hozzáadása az eszközökhöz Intune használatával című témakört.
Hozzon létre egy e-mail-eszközkonfigurációs profilt a Intune. A szervezet által használt levelezőalkalmazástól függően előfordulhat, hogy nincs szükség az e-mail-eszköz konfigurációs profiljára.
Útmutatásért tekintse meg az E-mail-beállítások hozzáadása az eszközökhöz Intune használatával című témakört.
Az e-mail-eszköz konfigurációs profiljában konfigurálja a platform beállításait:
Android Enterprise személyes tulajdonú eszközök munkahelyi profil e-mail-beállításaival
Az Android Enterprise szervezeti tulajdonú eszközei nem használnak e-mailes eszközkonfigurációs profilokat.
Rendelje hozzá az e-mail-eszköz konfigurációs profilját a felhasználókhoz vagy felhasználói csoportokhoz.
VPN
Számos szervezet helyez üzembe előre konfigurált beállításokkal rendelkező VPN-profilokat a felhasználói eszközökön. A VPN csatlakoztatja az eszközöket a belső szervezeti hálózathoz.
Ha a szervezete modern hitelesítéssel és biztonságos identitásokkal rendelkező felhőszolgáltatásokat használ, akkor valószínűleg nincs szüksége VPN-profilra. A natív felhőszolgáltatásokhoz nincs szükség VPN-kapcsolatra.
Ha az alkalmazásai vagy szolgáltatásai nem felhőalapúak vagy nem natív felhőbeliek, javasoljuk, hogy helyezzen üzembe egy VPN-profilt a belső szervezeti hálózathoz való csatlakozáshoz.
✔️ Munkavégzés bárhonnan
A VPN-profilok létrehozása a távoli feldolgozókkal és hibrid feldolgozókkal rendelkező szervezetek közös minimális alapkonfigurációs szabályzata.
Amikor a felhasználók bárhonnan dolgoznak, a VPN-profillal biztonságosan csatlakozhatnak a szervezet hálózatához az erőforrások eléréséhez.
Intune beépített VPN-beállításokat biztosít androidos, iOS/iPadOS, macOS és Windows rendszerű ügyféleszközökhöz. A felhasználói eszközökön a VPN-kapcsolat elérhető kapcsolatként jelenik meg. A felhasználók kiválasztják. A VPN-profil beállításaitól függően a felhasználók automatikusan hitelesíthetik és csatlakozhatnak a VPN-hez az eszközeiken.
✔️ Vállalati szintű VPN-alkalmazások használata
A vpn-profilok Intune gyakori vállalati VPN-alkalmazásokat használnak, például Check Point, Cisco, Microsoft Tunnel stb. A VPN-alkalmazás a felhasználói eszközökön van üzembe helyezve. Az alkalmazás üzembe helyezése után üzembe helyezi a VPN-kapcsolati profilt a VPN-alkalmazást konfiguráló beállításokkal.
A VPN-eszköz konfigurációs profilja olyan beállításokat tartalmaz, amelyek a VPN-kiszolgálóhoz csatlakoznak.
✔️ Üzembe helyezés bármikor
Új eszközökön ajánlott a VPN-alkalmazást üzembe helyezni a regisztrációs folyamat során. A regisztráció befejezése után telepítse a VPN-eszköz konfigurációs szabályzatát.
Ha már rendelkezik eszközökkel, bármikor üzembe helyezheti a VPN-alkalmazást, majd üzembe helyezheti a VPN-eszközkonfigurációs szabályzatot.
A VPN-profilok használatának első lépései
Első lépések:
Helyezzen üzembe egy VPN-alkalmazást az eszközein.
- A támogatott VPN-alkalmazások listáját a Támogatott VPN-kapcsolati alkalmazások Intune című témakörben találja.
- Az alkalmazások Intune való hozzáadásának lépéseit az Alkalmazások hozzáadása Microsoft Intune című témakörben találja.
A VPN-eszköz konfigurációs profiljában konfigurálja a platform beállításait:
Rendelje hozzá a VPN-eszköz konfigurációs profilját a felhasználókhoz vagy felhasználói csoportokhoz.
Wi-Fi
Számos szervezet helyez üzembe előre konfigurált beállításokkal rendelkező Wi-Fi profilokat a felhasználói eszközökön. Ha a szervezet csak távoli munkaerővel rendelkezik, akkor nem kell üzembe helyeznie Wi-Fi kapcsolati profilokat. Wi-Fi profilok nem kötelezőek, és a helyszíni kapcsolatokhoz használhatók.
✔️ Vezeték nélküli csatlakozás
Amikor a felhasználók különböző mobileszközökről dolgoznak, a Wi-Fi profillal vezeték nélkül és biztonságosan csatlakozhatnak a szervezet hálózatához.
A profil tartalmazza a Wi-Fi konfigurációs beállításait, amelyek automatikusan csatlakoznak a hálózathoz és/vagy az SSID-hez (szolgáltatáskészlet-azonosító). A felhasználóknak nem kell manuálisan konfigurálniuk a Wi-Fi beállításait.
✔️ Helyszíni mobileszközök támogatása
A Wi-Fi profilok létrehozása egy közös minimális alapszabályzat a helyszínen működő mobileszközökkel rendelkező szervezetek számára.
Intune beépített Wi-Fi beállítások androidos, iOS/iPadOS, macOS és Windows rendszerű ügyféleszközökhöz. A felhasználói eszközökön a Wi-Fi kapcsolat elérhető kapcsolatként jelenik meg. A felhasználók kiválasztják. A Wi-Fi-profil beállításaitól függően a felhasználók automatikusan hitelesíthetik magukat, és csatlakozhatnak a Wi-Fi az eszközeiken.
✔️ Üzembe helyezés bármikor
Új eszközökön ajánlott telepíteni a Wi-Fi eszközkonfigurációs szabályzatot, amikor az eszközök regisztrálnak Intune.
Ha már rendelkezik eszközökkel, bármikor üzembe helyezheti a Wi-Fi eszközkonfigurációs szabályzatot.
A Wi-Fi-profilok használatának első lépései
Első lépések:
Hozzon létre egy Wi-Fi eszközkonfigurációs profilt a Intune.
Konfigurálja a platform beállításait:
Rendelje hozzá a Wi-Fi eszközkonfigurációs profilt a felhasználókhoz vagy felhasználói csoportokhoz.
2. szint – Fokozott védelem és konfigurálás
Ez a szint kibővíti az 1. szinten konfigurált beállításokat, és nagyobb biztonságot nyújt az eszközök számára. Ebben a szakaszban egy 2. szintű szabályzatkészletet hoz létre, amely további biztonsági beállításokat konfigurál az eszközökhöz.
A Microsoft a következő 2. szintű biztonsági szabályzatokat javasolja:
Engedélyezze a lemeztitkosítást, a biztonságos rendszerindítást és a TPM-et az eszközökön. Ezek a funkciók erős PIN-kód-szabályzattal vagy biometrikus zárolásfeloldással kombinálva ajánlottak ezen a szinten.
Android-eszközökön előfordulhat, hogy a lemeztitkosítás és a Samsung Knox be van építve az operációs rendszerbe. Előfordulhat, hogy a zárolási képernyő beállításainak konfigurálásakor a lemeztitkosítás automatikusan engedélyezve lesz. A Intune létrehozhat egy eszközkorlátozási szabályzatot, amely konfigurálja a zárolási képernyő beállításait.
A konfigurálható jelszó- és zárolási képernyőbeállítások listáját a következő cikkekben találja:
Jelszavak lejárata és a régi jelszavak újbóli felhasználásának szabályozása. Az 1. szinten erős PIN-kód- vagy jelszószabályzatot hozott létre. Ha még nem tette meg, konfigurálja a PIN-eket & jelszavakat a lejáratra, és állítson be néhány jelszó-újrafelhasználási szabályt.
A Intune használatával eszközkorlátozási szabályzatot vagy beállításokat konfiguráló beállításkatalógus-szabályzatot hozhat létre. A konfigurálható jelszóbeállításokról a következő cikkekben talál további információt:
Android-eszközökön eszközkorlátozási szabályzatokkal állíthat be jelszószabályokat:
Intune több száz olyan beállítást tartalmaz, amely képes kezelni az eszközök funkcióit és beállításait, például letilthatja a beépített kamerát, vezérelheti az értesítéseket, engedélyezheti a Bluetooth-t, letilthatja a játékokat stb.
A beállítások megtekintéséhez és konfigurálásához használhatja a beépített sablonokat vagy a beállításkatalógust .
Az eszközkorlátozási sablonok számos beépített beállítással rendelkeznek, amelyek az eszközök különböző részeit szabályozhatják, beleértve a biztonságot, a hardvert, az adatmegosztást és egyebeket.
Ezeket a sablonokat a következő platformokon használhatja:
- Android
- iOS/iPadOS
- macOS
- A Windows
A Beállítások katalógusban megtekintheti és konfigurálhatja az összes elérhető beállítást. A beállításkatalógust a következő platformokon használhatja:
- iOS/iPadOS
- macOS
- A Windows
Használja a beépített felügyeleti sablonokat, hasonlóan az ADMX-sablonok helyszíni konfigurálásához. Az ADMX-sablonokat a következő platformon használhatja:
- A Windows
Ha helyszíni csoportházirend-objektumokat használ, és szeretné tudni, hogy ezek a beállítások elérhetők-e Intune, használja Csoportházirend elemzést. Ez a funkció elemzi a csoportházirend-objektumokat, és az elemzéstől függően importálhatja őket egy Intune-beállításkatalógus-szabályzatba.
További információt a Helyszíni csoportházirend-objektumok elemzése és importálása Intune című témakörben talál.
3. szint – Magas szintű védelem és konfigurálás
Ez a szint az 1. és a 2. szinten konfigurált értékre bővül. A vállalati szintű szervezetekben használt további biztonsági funkciókkal bővíti a szolgáltatást.
Bontsa ki a jelszó nélküli hitelesítést a munkaerő által használt egyéb szolgáltatásokra. Az 1. szinten engedélyezte a biometrikus adatokat, hogy a felhasználók ujjlenyomattal vagy arcfelismeréssel bejelentkezhessenek az eszközeikre. Ebben a szinten bontsa ki a jelszó nélküli elemet a szervezet más részeire.
Tanúsítványokkal hitelesítheti az e-maileket, a VPN-t és a Wi-Fi kapcsolatokat. A tanúsítványokat a felhasználók és az eszközök helyezik üzembe, majd a felhasználók ezen e-mail-, VPN- és Wi-Fi-kapcsolatokon keresztül férnek hozzá a szervezet erőforrásaihoz.
A tanúsítványok Intune való használatáról az alábbiakban olvashat bővebben:
Konfigurálja az egyszeri bejelentkezést (SSO) a zökkenőmentesebb élmény érdekében, amikor a felhasználók üzleti alkalmazásokat nyitnak meg, például a Microsoft 365-alkalmazásokat. A felhasználók egyszer jelentkeznek be, majd automatikusan bejelentkeznek az SSO-konfigurációt támogató összes alkalmazásba.
Az egyszeri bejelentkezés Intune és Microsoft Entra ID való használatáról az alábbiakban olvashat:
Használjon többtényezős hitelesítést (MFA). Ha jelszó nélkülire vált, az MFA további biztonsági réteget biztosít, és segít megvédeni a szervezetet az adathalászati támadásoktól. Az MFA-t használhatja hitelesítő alkalmazásokkal, például a Microsoft Authenticator alkalmazással, illetve telefonhívással vagy SMS-lel. Akkor is használhatja az MFA-t, ha a felhasználók regisztrálják eszközeiket Intune.
A többtényezős hitelesítés a Microsoft Entra ID egyik funkciója, és Microsoft Entra-fiókokkal használható. További információt a következő témakörben talál:
A Microsoft Tunnel beállítása Android- és iOS-/iPadOS-eszközökhöz. A Microsoft Tunnel Linux használatával engedélyezi ezeknek az eszközöknek a hozzáférést a helyszíni erőforrásokhoz modern hitelesítéssel és feltételes hozzáféréssel.
A Microsoft Tunnel Intune, Microsoft Entra ID és Active Directory összevonási szolgáltatások (AD FS) (AD FS) használ. További információ: Microsoft Tunnel for Microsoft Intune.
Az Intune regisztrált eszközökhöz készült Microsoft Tunnel mellett a Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) használatával kiterjesztheti az alagút képességeit azokra az Android- és iOS-/iPad-eszközökre, amelyek nincsenek regisztrálva a Intune. A TUNNEL for MAM olyan Intune bővítményként érhető el, amely további licencet igényel.
További információ: A Intune Suite bővítmény képességeinek használata.
A Windows helyi rendszergazdai jelszómegoldás (LAPS) házirendjének használatával kezelheti és biztonsági másolatot készít a windowsos eszközökön található beépített helyi rendszergazdai fiókról. Mivel a helyi rendszergazdai fiók nem törölhető, és teljes körű engedélyekkel rendelkezik az eszközhöz, a beépített Windows rendszergazdai fiók kezelése fontos lépés a szervezet biztonságossá tételében. Intune Windows LAPS-szabályzat a 21h2-es vagy újabb verziót futtató Windows-eszközökhöz elérhető képességeket használja.
További információ: Intune Windows LAPS támogatása.
A windowsos eszközök támadási felületének csökkentéséhez használja a Microsoft Intune Végponti jogosultságkezelés (EPM) eszközt. Az EPM lehetővé teszi, hogy a normál felhasználókként (rendszergazdai jogosultságok nélkül) futó felhasználók továbbra is hatékonyan működjenek annak meghatározásával, hogy ezek a felhasználók mikor futtathatnak alkalmazásokat emelt szintű környezetben.
Az EPM jogosultságszint-emelési szabályai fájlkivonatokon, tanúsítványszabályokon és egyebeken alapulhatnak. A konfigurált szabályok segítenek biztosítani, hogy csak a várt és megbízható alkalmazások futhassanak emelt szintűként. A szabályok kezelhetik az alkalmazás által létrehozott gyermekfolyamatokat, támogathatják a felhasználók által a felügyelt folyamat megemelésére irányuló kéréseket, és lehetővé tehetik az automatikus jogosultságszint-emelést azoknak a fájloknak, amelyeknek csak felhasználói megszakítás nélkül kell futniuk.
A Végponti jogosultságkezelés Intune bővítményként érhető el, amelyhez további licenc szükséges. További információ: A Intune Suite bővítmény képességeinek használata.
Az Android common criteria (Közös feltételek) mód használata olyan Android-eszközökön, amelyeket rendkívül érzékeny szervezetek, például kormányzati intézmények használnak.
A funkcióval kapcsolatos további információkért lépjen az Android Common Criteria módba.
A Windows belső vezérlőprogram rétegére vonatkozó szabályzatok létrehozása. Ezek a szabályzatok segíthetnek megakadályozni, hogy a kártevők kommunikálnak a Windows operációs rendszer folyamataival.
A funkcióval kapcsolatos további információkért lásd: Az eszköz belső vezérlőprogramjának konfigurációs felületi (DFCI-) profiljainak használata Windows-eszközökön.
Kioszkok, megosztott eszközök és egyéb speciális eszközök konfigurálása:
Android Enterprise:
Android-eszközadminisztrátor
- Zebra-eszközök használata és kezelése Zebra mobilitási bővítményekkel
- Kioszkként futtatandó eszközbeállítások
Fontos
Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre Intune a támogatás megszűnése előtt. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.
Rendszerhéjszkriptek üzembe helyezése:
Kövesse a minimálisan ajánlott alapkonfigurációs szabályzatokat
- Microsoft Intune beállítása
- Alkalmazások hozzáadása, konfigurálása és védelme
- Megfelelőségi szabályzatok tervezése
- 🡺 Eszközfunkciók konfigurálása (Ön itt áll)
- Eszközök regisztrálása
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: