4. lépés – Eszközfunkciók és -beállítások konfigurálása az eszközök védelméhez és az erőforrások eléréséhez

Eddig beállította a Intune-előfizetését, létrehozta az alkalmazásvédelmi szabályzatokat, és eszközmegfelelési szabályzatokat hozott létre.

Ebben a lépésben készen áll arra, hogy konfiguráljon egy minimális vagy alapkonfigurációs biztonsági és eszközfunkció-készletet, amellyel minden eszköznek rendelkeznie kell.

Ez a cikk a következőkre vonatkozik:

• Android
• iOS/iPadOS
• macOS
• A Windows

Eszközkonfigurációs profilok létrehozásakor különböző szintek és szabályzattípusok érhetők el. Ezek a szintek a Microsoft által ajánlott minimális szabályzatok. Tudja, hogy a környezet és az üzleti igények eltérőek lehetnek.

• 1. szint – Minimális eszközkonfiguráció: Ebben a szinten a Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:

  • Összpontosítson az eszközbiztonságra, beleértve a víruskereső telepítését, az erős jelszószabályzat létrehozását és a szoftverfrissítések rendszeres telepítését.
  • Hozzáférést biztosíthat a felhasználóknak a szervezeti e-mailekhez, és szabályozott biztonságos hozzáférést biztosíthat a hálózathoz, bárhol is legyenek.

• 2. szint – Továbbfejlesztett eszközkonfiguráció: Ebben a szinten a Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:

  • Bontsa ki az eszközbiztonságot, beleértve a lemeztitkosítás konfigurálását, a biztonságos rendszerindítás engedélyezését és további jelszószabályok hozzáadását.
  • A beépített funkciók és sablonok használatával további, a szervezet számára fontos beállításokat konfigurálhat, beleértve a helyszíni csoportházirend-objektumok elemzését is.

• 3. szint – Magas eszközkonfiguráció: Ebben a szinten a Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:

  • Válthat jelszó nélküli hitelesítésre, beleértve a tanúsítványok használatát, az egyszeri bejelentkezés (SSO) alkalmazásokba való konfigurálását, a többtényezős hitelesítés (MFA) engedélyezését és a Microsoft Tunnel konfigurálását.
  • További biztonsági rétegeket adhat hozzá az Android általános feltételalapú módjával, vagy DFCI-szabályzatokat hozhat létre Windows-eszközökhöz.
  • A beépített funkciókkal kioszkeszközöket, dedikált eszközöket, megosztott eszközöket és más speciális eszközöket konfigurálhat.
  • Meglévő rendszerhéjszkriptek üzembe helyezése.

Ez a cikk a szervezetek által használandó eszközkonfigurációs szabályzatok különböző szintjeit sorolja fel. A jelen cikkben szereplő szabályzatok többsége a szervezeti erőforrásokhoz és a biztonsághoz való hozzáférésre összpontosít.

Ezek a funkciók a felügyeleti központ Microsoft Intune eszközkonfigurációs profilokban vannak konfigurálva. Ha a profilok készen állnak, Intune telepítheti őket az eszközeire.

Tipp

Ismerkedés a Intune és a Microsoft Intune Felügyeleti központtal.

1. szint – A biztonsági alapkonfiguráció létrehozása

A szervezeti adatok és eszközök biztonságának megőrzése érdekében különböző házirendeket hozhat létre, amelyek a biztonságra összpontosítanak. Létre kell hoznia egy listát azokról a biztonsági funkciókról, amelyekkel az összes felhasználónak és/vagy az összes eszköznek rendelkeznie kell. Ez a lista a biztonsági alapkonfiguráció.

Az alapkonfigurációban a Microsoft a következő biztonsági szabályzatokat javasolja:

• Telepítse a víruskeresőt (AV), és rendszeresen keressen kártevőket
• Észlelés és válasz használata
• A tűzfal bekapcsolása
• Szoftverfrissítések rendszeres telepítése
• Erős PIN-kód-/jelszószabályzat létrehozása

Ez a szakasz a biztonsági szabályzatok létrehozásához használható Intune és Microsoft-szolgáltatásokat sorolja fel.

A Windows-beállítások és azok ajánlott értékeinek részletesebb listáját a Windows biztonsági alapkonfigurációi című témakörben találja.

Víruskereső és vizsgálat

✔️ Telepítse a víruskereső szoftvert, és rendszeresen keressen kártevőket

Minden eszközön telepítve kell lennie a víruskereső szoftvernek, és rendszeresen be kell keresni a kártevőket. Intune integrálható külső partner mobile threat defense (MTD) szolgáltatásokkal, amelyek AV-t és fenyegetésvizsgálatot biztosítanak. MacOS és Windows rendszeren a víruskereső és a vizsgálat be van építve a Végponthoz készült Microsoft Defender Intune.

A szabályzat beállításai:

Platform	Szabályzat típusa
Vállalati Android	- Mobilfenyegetés-védelmi partner – az Android-Végponthoz készült Microsoft Defender kártevőket kereshet
iOS/iPadOS	Mobilfenyegetés-védelmi partner
macOS	Intune Endpoint Security víruskereső profil (Végponthoz készült Microsoft Defender)
Windows-ügyfél	- Intune biztonsági alapkonfigurációk (ajánlott) - Intune Endpoint Security víruskereső profil (Végponthoz készült Microsoft Defender) – Mobilfenyegetés-védelmi partner

További információ ezekről a funkciókról:

• Android Enterprise:
  • A Mobile Threat Defense integrációja
  • Végponthoz készült Microsoft Defender áttekintése
• iOS/iPadOSMobile Threat Defense-integráció
• macOSvíruskereső szabályzat
• Windows:
  • Víruskereső szabályzat
  • Biztonsági alapkonfigurációk

Észlelés és válasz

✔️ Támadások észlelése és a fenyegetések elhárítása

Ha gyorsan észleli a fenyegetéseket, minimalizálhatja a fenyegetés hatását. Ha ezeket a szabályzatokat feltételes hozzáféréssel kombinálja, letilthatja, hogy a felhasználók és az eszközök hozzáférjenek a szervezeti erőforrásokhoz, ha fenyegetést észlel.

A szabályzat beállításai:

Platform	Szabályzat típusa
Vállalati Android	- Mobilfenyegetés-védelmi partner – Végponthoz készült Microsoft Defender Androidon
iOS/iPadOS	– Mobilfenyegetés-védelmi partner – Végponthoz készült Microsoft Defender iOS/iPadOS rendszeren
macOS	Nem érhető el
Windows-ügyfél	- Intune biztonsági alapkonfigurációk (ajánlott) – Intune végpontészlelési és -válaszprofil (Végponthoz készült Microsoft Defender) – Mobil veszélyforrások elleni védelmi partner

További információ ezekről a funkciókról:

• Android Enterprise:
  • A Mobile Threat Defense integrációja a Intune
  • Végponthoz készült Microsoft Defender áttekintése
• iOS/iPadOS:
  • A Mobile Threat Defense integrációja a Intune
  • Végponthoz készült Microsoft Defender áttekintése
• Windows:
  • Biztonsági alapkonfigurációk
  • Végpontészlelési és válaszszabályzat

Tűzfal

✔️ A tűzfal engedélyezése minden eszközön

Egyes platformok beépített tűzfallal rendelkeznek, másokon pedig külön kell telepítenie a tűzfalat. Intune integrálható külső partner mobile threat defense (MTD) szolgáltatásokkal, amelyek képesek tűzfalat kezelni androidos és iOS/iPadOS rendszerű eszközökhöz. MacOS és Windows rendszeren a tűzfalbiztonság a Végponthoz készült Microsoft Defender Intune beépített.

A szabályzat beállításai:

Platform	Szabályzat típusa
Vállalati Android	Mobilfenyegetés-védelmi partner
iOS/iPadOS	Mobilfenyegetés-védelmi partner
macOS	Intune Endpoint Security tűzfalprofil (Végponthoz készült Microsoft Defender)
Windows-ügyfél	- Intune biztonsági alapkonfigurációk (ajánlott) – Intune Endpoint Security tűzfalprofil (Végponthoz készült Microsoft Defender) – Mobil veszélyforrások elleni védelmi partner

További információ ezekről a funkciókról:

• Android EnterpriseMobile Threat Defense-integráció
• iOS/iPadOSMobile Threat Defense-integráció
• macOStűzfalszabályzat
• Windows:
  • Biztonsági alapkonfigurációk
  • Tűzfalszabályzat

Jelszóházirend

✔️ Erős jelszó-/PIN-kód-szabályzat létrehozása és egyszerű PIN-kódok letiltása

A PIN-ekkel feloldhatók az eszközök. A szervezeti adatokhoz hozzáférő eszközökön, beleértve a személyes tulajdonú eszközöket is, erős PIN-kódra/pin-kódra van szükség, és támogatnia kell a biometrikus adatokat az eszközök zárolásának feloldásához. A biometrikus adatok használata a jelszó nélküli megközelítés része, ami ajánlott.

Intune eszközkorlátozási profilokat használ a jelszókövetelmények létrehozásához és konfigurálásához.

A szabályzat beállításai:

Platform	Szabályzat típusa
Vállalati Android	Intune eszközkorlátozási profilt a következő kezeléséhez: – Eszköz jelszava – Munkahelyi profil jelszava
AOSP	Intune eszközkorlátozási profil
iOS/iPadOS	Intune eszközkorlátozási profil
macOS	Intune eszközkorlátozási profil
Windows-ügyfél	- Intune biztonsági alapkonfigurációk (ajánlott) – Intune eszközkorlátozási profil

A konfigurálható beállítások listáját itt találja:

• Android Enterprise eszközkorlátozási profil:
  • Vállalati tulajdonú eszközök >Eszközjelszó és Munkahelyi profil jelszava
  • Személyes tulajdonú eszközök munkahelyi profillal >munkahelyi profil jelszavával és jelszavával
• Android AOSPEszközkorlátozások profil >Eszközjelszó
• iOS-/iPadOS-eszközkorlátozásiprofil >jelszava
• macOSEszközkorlátozások profil >Jelszó
• Windows:
  • Biztonsági alapkonfigurációk
  • Ügyféleszköz-korlátozási profil >jelszava
  • Vállalati Windows Hello kezelése az eszközök regisztrálásakor
  • Vállalati Windows Hello kezelése az eszközök regisztrálása után

Szoftverfrissítések

✔️ Szoftverfrissítések rendszeres telepítése

Minden eszközt rendszeresen frissíteni kell, és szabályzatokat kell létrehozni, hogy a frissítések telepítése sikeres legyen. A legtöbb platform esetében a Intune dedikált szabályzatokkal rendelkezik, amelyek a frissítések kezelésére és telepítésére összpontosítanak.

A szabályzat beállításai:

Platform	Szabályzat típusa
Vállalati Android-szervezet tulajdonában lévő eszközök	Rendszerfrissítési beállítások Intune eszközkorlátozási profil használatával
Android Enterprise személyes tulajdonú eszközök	Nem érhető el A megfelelőségi szabályzatokkal beállíthat egy minimális javítási szintet, minimális/maximális operációsrendszer-verziót és egyebeket.
iOS/iPadOS	frissítési szabályzat Intune
macOS	frissítési szabályzat Intune
Windows-ügyfél	– Intune funkciófrissítési szabályzat – Intune gyorsított frissítési szabályzat

Ezekről a funkciókról és/vagy a konfigurálható beállításokról a következő témakörben talál további információt:

• Android enterprisedevice restrictions profile >System update
• iOS/iPadOSszoftverfrissítési szabályzatok
• macOSszoftverfrissítési szabályzatok
• Windows:
  • Funkciófrissítési szabályzat
  • Gyorsított frissítési szabályzat

1. szint – Hozzáférés a szervezeti e-mailekhez, csatlakozás VPN-hez vagy Wi-Fi

Ez a szakasz a szervezet erőforrásainak elérésére összpontosít. Ezek az erőforrások a következők:

• Email munkahelyi vagy iskolai fiókokhoz
• VPN-kapcsolat távoli kapcsolathoz
• helyszíni kapcsolat Wi-Fi

E-mail

Számos szervezet telepít előre konfigurált beállításokkal rendelkező e-mail-profilokat a felhasználói eszközökre.

✔️ Automatikus csatlakozás felhasználói e-mail-fiókokhoz

A profil tartalmazza a levelezési kiszolgálóhoz csatlakozó e-mail-konfigurációs beállításokat.

A konfigurált beállításoktól függően az e-mail-profil automatikusan csatlakoztathatja a felhasználókat az e-mail-fiók egyéni beállításaihoz.

✔️ Vállalati szintű levelezőalkalmazások használata

Email profilok Intune általános és népszerű levelezőalkalmazásokat, például az Outlookot használják. A levelezőalkalmazás a felhasználói eszközökön van üzembe helyezve. Az üzembe helyezést követően üzembe helyezi az e-mail-eszköz konfigurációs profilját az e-mail-alkalmazást konfiguráló beállításokkal.

Az e-mail-eszköz konfigurációs profilja tartalmazza az Exchange-hez csatlakozó beállításokat.

✔️ Munkahelyi vagy iskolai e-mail-cím elérése

Az e-mail-profilok létrehozása az e-maileket az eszközeiken e-maileket használó felhasználókkal rendelkező szervezetek közös minimális alapszabályzata.

Intune beépített e-mail-beállítások androidos, iOS/iPadOS és Windows rendszerű ügyféleszközökhöz. Amikor a felhasználók megnyitják a levelezőalkalmazásukat, automatikusan csatlakozhatnak, hitelesíthetik és szinkronizálhatják a szervezeti e-mail-fiókjukat az eszközeiken.

✔️ Üzembe helyezés bármikor

Új eszközökön javasoljuk, hogy a regisztrációs folyamat során telepítse a levelezőalkalmazást. A regisztráció befejezése után telepítse az e-mail-eszköz konfigurációs szabályzatát.

Ha már rendelkezik eszközökkel, akkor a levelezőalkalmazást bármikor üzembe helyezheti, és üzembe helyezheti az e-mail-eszköz konfigurációs szabályzatát.

Az e-mail-profilok használatának első lépései

Első lépések:

1. Helyezzen üzembe egy e-mail-alkalmazást az eszközein. Útmutatásért tekintse meg az E-mail-beállítások hozzáadása az eszközökhöz Intune használatával című témakört.

2. Hozzon létre egy e-mail-eszközkonfigurációs profilt a Intune. A szervezet által használt levelezőalkalmazástól függően előfordulhat, hogy nincs szükség az e-mail-eszköz konfigurációs profiljára.

   Útmutatásért tekintse meg az E-mail-beállítások hozzáadása az eszközökhöz Intune használatával című témakört.

3. Az e-mail-eszköz konfigurációs profiljában konfigurálja a platform beállításait:

   • Android Enterprise személyes tulajdonú eszközök munkahelyi profil e-mail-beállításaival

     Az Android Enterprise szervezeti tulajdonú eszközei nem használnak e-mailes eszközkonfigurációs profilokat.

   • iOS/iPadOS e-mail-beállítások

   • A Windows levelezési beállításai

4. Rendelje hozzá az e-mail-eszköz konfigurációs profilját a felhasználókhoz vagy felhasználói csoportokhoz.

VPN

Számos szervezet helyez üzembe előre konfigurált beállításokkal rendelkező VPN-profilokat a felhasználói eszközökön. A VPN csatlakoztatja az eszközöket a belső szervezeti hálózathoz.

Ha a szervezete modern hitelesítéssel és biztonságos identitásokkal rendelkező felhőszolgáltatásokat használ, akkor valószínűleg nincs szüksége VPN-profilra. A natív felhőszolgáltatásokhoz nincs szükség VPN-kapcsolatra.

Ha az alkalmazásai vagy szolgáltatásai nem felhőalapúak vagy nem natív felhőbeliek, javasoljuk, hogy helyezzen üzembe egy VPN-profilt a belső szervezeti hálózathoz való csatlakozáshoz.

✔️ Munkavégzés bárhonnan

A VPN-profilok létrehozása a távoli feldolgozókkal és hibrid feldolgozókkal rendelkező szervezetek közös minimális alapkonfigurációs szabályzata.

Amikor a felhasználók bárhonnan dolgoznak, a VPN-profillal biztonságosan csatlakozhatnak a szervezet hálózatához az erőforrások eléréséhez.

Intune beépített VPN-beállításokat biztosít androidos, iOS/iPadOS, macOS és Windows rendszerű ügyféleszközökhöz. A felhasználói eszközökön a VPN-kapcsolat elérhető kapcsolatként jelenik meg. A felhasználók kiválasztják. A VPN-profil beállításaitól függően a felhasználók automatikusan hitelesíthetik és csatlakozhatnak a VPN-hez az eszközeiken.

✔️ Vállalati szintű VPN-alkalmazások használata

A vpn-profilok Intune gyakori vállalati VPN-alkalmazásokat használnak, például Check Point, Cisco, Microsoft Tunnel stb. A VPN-alkalmazás a felhasználói eszközökön van üzembe helyezve. Az alkalmazás üzembe helyezése után üzembe helyezi a VPN-kapcsolati profilt a VPN-alkalmazást konfiguráló beállításokkal.

A VPN-eszköz konfigurációs profilja olyan beállításokat tartalmaz, amelyek a VPN-kiszolgálóhoz csatlakoznak.

✔️ Üzembe helyezés bármikor

Új eszközökön ajánlott a VPN-alkalmazást üzembe helyezni a regisztrációs folyamat során. A regisztráció befejezése után telepítse a VPN-eszköz konfigurációs szabályzatát.

Ha már rendelkezik eszközökkel, bármikor üzembe helyezheti a VPN-alkalmazást, majd üzembe helyezheti a VPN-eszközkonfigurációs szabályzatot.

A VPN-profilok használatának első lépései

Első lépések:

1. Helyezzen üzembe egy VPN-alkalmazást az eszközein.

   • A támogatott VPN-alkalmazások listáját a Támogatott VPN-kapcsolati alkalmazások Intune című témakörben találja.
   • Az alkalmazások Intune való hozzáadásának lépéseit az Alkalmazások hozzáadása Microsoft Intune című témakörben találja.

2. Hozzon létre egy VPN-konfigurációs profilt a Intune.

3. A VPN-eszköz konfigurációs profiljában konfigurálja a platform beállításait:

   • Android Enterprise VPN-beállítások
   • iOS/iPadOS VPN-beállítások
   • macOS VPN-beállítások
   • Windows VPN-beállítások

4. Rendelje hozzá a VPN-eszköz konfigurációs profilját a felhasználókhoz vagy felhasználói csoportokhoz.

Wi-Fi

Számos szervezet helyez üzembe előre konfigurált beállításokkal rendelkező Wi-Fi profilokat a felhasználói eszközökön. Ha a szervezet csak távoli munkaerővel rendelkezik, akkor nem kell üzembe helyeznie Wi-Fi kapcsolati profilokat. Wi-Fi profilok nem kötelezőek, és a helyszíni kapcsolatokhoz használhatók.

✔️ Vezeték nélküli csatlakozás

Amikor a felhasználók különböző mobileszközökről dolgoznak, a Wi-Fi profillal vezeték nélkül és biztonságosan csatlakozhatnak a szervezet hálózatához.

A profil tartalmazza a Wi-Fi konfigurációs beállításait, amelyek automatikusan csatlakoznak a hálózathoz és/vagy az SSID-hez (szolgáltatáskészlet-azonosító). A felhasználóknak nem kell manuálisan konfigurálniuk a Wi-Fi beállításait.

✔️ Helyszíni mobileszközök támogatása

A Wi-Fi profilok létrehozása egy közös minimális alapszabályzat a helyszínen működő mobileszközökkel rendelkező szervezetek számára.

Intune beépített Wi-Fi beállítások androidos, iOS/iPadOS, macOS és Windows rendszerű ügyféleszközökhöz. A felhasználói eszközökön a Wi-Fi kapcsolat elérhető kapcsolatként jelenik meg. A felhasználók kiválasztják. A Wi-Fi-profil beállításaitól függően a felhasználók automatikusan hitelesíthetik magukat, és csatlakozhatnak a Wi-Fi az eszközeiken.

✔️ Üzembe helyezés bármikor

Új eszközökön ajánlott telepíteni a Wi-Fi eszközkonfigurációs szabályzatot, amikor az eszközök regisztrálnak Intune.

Ha már rendelkezik eszközökkel, bármikor üzembe helyezheti a Wi-Fi eszközkonfigurációs szabályzatot.

A Wi-Fi-profilok használatának első lépései

Első lépések:

1. Hozzon létre egy Wi-Fi eszközkonfigurációs profilt a Intune.

2. Konfigurálja a platform beállításait:

   • Android Enterprise Wi-Fi beállításai
   • iOS/iPadOS Wi-Fi beállításai
   • macOS Wi-Fi beállításai
   • Windows Wi-Fi beállításai

3. Rendelje hozzá a Wi-Fi eszközkonfigurációs profilt a felhasználókhoz vagy felhasználói csoportokhoz.

2. szint – Fokozott védelem és konfigurálás

Ez a szint kibővíti az 1. szinten konfigurált beállításokat, és nagyobb biztonságot nyújt az eszközök számára. Ebben a szakaszban egy 2. szintű szabályzatkészletet hoz létre, amely további biztonsági beállításokat konfigurál az eszközökhöz.

A Microsoft a következő 2. szintű biztonsági szabályzatokat javasolja:

• Engedélyezze a lemeztitkosítást, a biztonságos rendszerindítást és a TPM-et az eszközökön. Ezek a funkciók erős PIN-kód-szabályzattal vagy biometrikus zárolásfeloldással kombinálva ajánlottak ezen a szinten.

  Android

  Android-eszközökön előfordulhat, hogy a lemeztitkosítás és a Samsung Knox be van építve az operációs rendszerbe. Előfordulhat, hogy a zárolási képernyő beállításainak konfigurálásakor a lemeztitkosítás automatikusan engedélyezve lesz. A Intune létrehozhat egy eszközkorlátozási szabályzatot, amely konfigurálja a zárolási képernyő beállításait.

  A konfigurálható jelszó- és zárolási képernyőbeállítások listáját a következő cikkekben találja:

  • Szervezet tulajdonában lévő eszközök – Eszköz jelszava
  • Szervezet tulajdonában lévő eszközök – Munkahelyi profil jelszava
  • Személyes tulajdonú eszközök – Munkahelyi profil jelszava
  • Személyes tulajdonú eszközök – Eszköz jelszava

  iOS/iPadOS

  iOS-/iPadOS-eszközökön a lemeztitkosítás és a Biztonságos enklávé be van építve az operációs rendszerbe, és automatikusan engedélyezve van. Nincsenek Intune beállítások ezeknek a funkcióknak a konfigurálásához.

  További információ: Bevezetés az Apple platform biztonságába és a Biztonságos enklávé (megnyitja az Apple webhelyét).

  Vannak Intune házirendek, amelyek a jelszóbeállításokra és a biztonsági mentések titkosítására összpontosítanak.

  macOS

  MacOS-eszközökön a FileVault-szabályzatok konfigurálhatók és használhatók a Intune lemeztitkosításhoz.

  A Biztonságos enklávé be van építve a működésbe, és automatikusan engedélyezve van. További információ: Bevezetés az Apple platform biztonságába és a Biztonságos enklávé (megnyitja az Apple webhelyét).

  A Windows

  Windows-eszközökön Intune végpontvédelmi szabályzatok kezelik a BitLockert, beleértve a TPM-et és a Windows-beállítások kezelését, beleértve a biztonságos rendszerindítást is.

---

• Jelszavak lejárata és a régi jelszavak újbóli felhasználásának szabályozása. Az 1. szinten erős PIN-kód- vagy jelszószabályzatot hozott létre. Ha még nem tette meg, konfigurálja a PIN-eket & jelszavakat a lejáratra, és állítson be néhány jelszó-újrafelhasználási szabályt.

  A Intune használatával eszközkorlátozási szabályzatot vagy beállításokat konfiguráló beállításkatalógus-szabályzatot hozhat létre. A konfigurálható jelszóbeállításokról a következő cikkekben talál további információt:

  Android

  Android-eszközökön eszközkorlátozási szabályzatokkal állíthat be jelszószabályokat:

  • Szervezet tulajdonában lévő eszközök – Eszközjelszó-beállítások
  • Szervezet tulajdonában lévő eszközök – Munkahelyi profil jelszóbeállításai
  • Személyes tulajdonú eszközök – Munkahelyi profil jelszóbeállításai
  • Személyes tulajdonú eszközök – Eszközjelszó-beállítások

  iOS/iPadOS

  iOS-/iPadOS-eszközökön az eszközkorlátozásokra vonatkozó szabályzatok és/vagy a beállításkatalógus használatával állíthat be jelszószabályokat:

  • Eszközkorlátozási szabályzat > Jelszóbeállítások
  • Beállításkatalógus> Keresés a következőhöz:Passcode

  macOS

  MacOS-eszközökön az eszközkorlátozási szabályzatok és/vagy a beállításkatalógus használatával állíthat be jelszószabályokat:

  • Eszközkorlátozási szabályzat > Jelszóbeállítások
  • Beállításkatalógus> Keresés a következőhöz:Passcode

  A Windows

  Windows-eszközökön az eszközkorlátozási szabályzatok és/vagy a beállításkatalógus használatával állíthat be jelszószabályokat:

  • Eszközkorlátozási szabályzat > Jelszóbeállítások
  • Beállításkatalógus> Keresés a következőhöz:Device lock

---

• Intune több száz olyan beállítást tartalmaz, amely képes kezelni az eszközök funkcióit és beállításait, például letilthatja a beépített kamerát, vezérelheti az értesítéseket, engedélyezheti a Bluetooth-t, letilthatja a játékokat stb.

  A beállítások megtekintéséhez és konfigurálásához használhatja a beépített sablonokat vagy a beállításkatalógust .

  • Az eszközkorlátozási sablonok számos beépített beállítással rendelkeznek, amelyek az eszközök különböző részeit szabályozhatják, beleértve a biztonságot, a hardvert, az adatmegosztást és egyebeket.

    Ezeket a sablonokat a következő platformokon használhatja:

    • Android
    • iOS/iPadOS
    • macOS
    • A Windows

  • A Beállítások katalógusban megtekintheti és konfigurálhatja az összes elérhető beállítást. A beállításkatalógust a következő platformokon használhatja:

    • iOS/iPadOS
    • macOS
    • A Windows

  • Használja a beépített felügyeleti sablonokat, hasonlóan az ADMX-sablonok helyszíni konfigurálásához. Az ADMX-sablonokat a következő platformon használhatja:

    • A Windows

• Ha helyszíni csoportházirend-objektumokat használ, és szeretné tudni, hogy ezek a beállítások elérhetők-e Intune, használja Csoportházirend elemzést. Ez a funkció elemzi a csoportházirend-objektumokat, és az elemzéstől függően importálhatja őket egy Intune-beállításkatalógus-szabályzatba.

  További információt a Helyszíni csoportházirend-objektumok elemzése és importálása Intune című témakörben talál.

3. szint – Magas szintű védelem és konfigurálás

Ez a szint az 1. és a 2. szinten konfigurált értékre bővül. A vállalati szintű szervezetekben használt további biztonsági funkciókkal bővíti a szolgáltatást.

• Bontsa ki a jelszó nélküli hitelesítést a munkaerő által használt egyéb szolgáltatásokra. Az 1. szinten engedélyezte a biometrikus adatokat, hogy a felhasználók ujjlenyomattal vagy arcfelismeréssel bejelentkezhessenek az eszközeikre. Ebben a szinten bontsa ki a jelszó nélküli elemet a szervezet más részeire.

  • Tanúsítványokkal hitelesítheti az e-maileket, a VPN-t és a Wi-Fi kapcsolatokat. A tanúsítványokat a felhasználók és az eszközök helyezik üzembe, majd a felhasználók ezen e-mail-, VPN- és Wi-Fi-kapcsolatokon keresztül férnek hozzá a szervezet erőforrásaihoz.

    A tanúsítványok Intune való használatáról az alábbiakban olvashat bővebben:

    • PKCS- vagy SCEP-tanúsítványok használata hitelesítéshez
    • Származtatott hitelesítő adatok használata

  • Konfigurálja az egyszeri bejelentkezést (SSO) a zökkenőmentesebb élmény érdekében, amikor a felhasználók üzleti alkalmazásokat nyitnak meg, például a Microsoft 365-alkalmazásokat. A felhasználók egyszer jelentkeznek be, majd automatikusan bejelentkeznek az SSO-konfigurációt támogató összes alkalmazásba.

    Az egyszeri bejelentkezés Intune és Microsoft Entra ID való használatáról az alábbiakban olvashat:

    • Android: Alkalmazásközi egyszeri bejelentkezés engedélyezése Androidon az MSAL használatával a Microsoft Entra ID
    • iOS/iPadOS, macOS: Az Enterprise SSO beépülő modul használata Intune és egyéb mobileszköz-kezelőkben
    • Windows: Egyszeri bejelentkezés konfigurálása Microsoft Entra ID

  • Használjon többtényezős hitelesítést (MFA). Ha jelszó nélkülire vált, az MFA további biztonsági réteget biztosít, és segít megvédeni a szervezetet az adathalászati támadásoktól. Az MFA-t használhatja hitelesítő alkalmazásokkal, például a Microsoft Authenticator alkalmazással, illetve telefonhívással vagy SMS-lel. Akkor is használhatja az MFA-t, ha a felhasználók regisztrálják eszközeiket Intune.

    A többtényezős hitelesítés a Microsoft Entra ID egyik funkciója, és Microsoft Entra-fiókokkal használható. További információt a következő témakörben talál:

    • Microsoft Entra ID-védelem áttekintése
    • Microsoft Entra többtényezős hitelesítés
    • Többtényezős hitelesítés megkövetelése Intune eszközregisztrációkhoz

  • A Microsoft Tunnel beállítása Android- és iOS-/iPadOS-eszközökhöz. A Microsoft Tunnel Linux használatával engedélyezi ezeknek az eszközöknek a hozzáférést a helyszíni erőforrásokhoz modern hitelesítéssel és feltételes hozzáféréssel.

    A Microsoft Tunnel Intune, Microsoft Entra ID és Active Directory összevonási szolgáltatások (AD FS) (AD FS) használ. További információ: Microsoft Tunnel for Microsoft Intune.

  • Az Intune regisztrált eszközökhöz készült Microsoft Tunnel mellett a Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) használatával kiterjesztheti az alagút képességeit azokra az Android- és iOS-/iPad-eszközökre, amelyek nincsenek regisztrálva a Intune. A TUNNEL for MAM olyan Intune bővítményként érhető el, amely további licencet igényel.

    További információ: A Intune Suite bővítmény képességeinek használata.

• A Windows helyi rendszergazdai jelszómegoldás (LAPS) házirendjének használatával kezelheti és biztonsági másolatot készít a windowsos eszközökön található beépített helyi rendszergazdai fiókról. Mivel a helyi rendszergazdai fiók nem törölhető, és teljes körű engedélyekkel rendelkezik az eszközhöz, a beépített Windows rendszergazdai fiók kezelése fontos lépés a szervezet biztonságossá tételében. Intune Windows LAPS-szabályzat a 21h2-es vagy újabb verziót futtató Windows-eszközökhöz elérhető képességeket használja.

  További információ: Intune Windows LAPS támogatása.

• A windowsos eszközök támadási felületének csökkentéséhez használja a Microsoft Intune Végponti jogosultságkezelés (EPM) eszközt. Az EPM lehetővé teszi, hogy a normál felhasználókként (rendszergazdai jogosultságok nélkül) futó felhasználók továbbra is hatékonyan működjenek annak meghatározásával, hogy ezek a felhasználók mikor futtathatnak alkalmazásokat emelt szintű környezetben.

  Az EPM jogosultságszint-emelési szabályai fájlkivonatokon, tanúsítványszabályokon és egyebeken alapulhatnak. A konfigurált szabályok segítenek biztosítani, hogy csak a várt és megbízható alkalmazások futhassanak emelt szintűként. A szabályok kezelhetik az alkalmazás által létrehozott gyermekfolyamatokat, támogathatják a felhasználók által a felügyelt folyamat megemelésére irányuló kéréseket, és lehetővé tehetik az automatikus jogosultságszint-emelést azoknak a fájloknak, amelyeknek csak felhasználói megszakítás nélkül kell futniuk.

  A Végponti jogosultságkezelés Intune bővítményként érhető el, amelyhez további licenc szükséges. További információ: A Intune Suite bővítmény képességeinek használata.

• Az Android common criteria (Közös feltételek) mód használata olyan Android-eszközökön, amelyeket rendkívül érzékeny szervezetek, például kormányzati intézmények használnak.

  A funkcióval kapcsolatos további információkért lépjen az Android Common Criteria módba.

• A Windows belső vezérlőprogram rétegére vonatkozó szabályzatok létrehozása. Ezek a szabályzatok segíthetnek megakadályozni, hogy a kártevők kommunikálnak a Windows operációs rendszer folyamataival.

  A funkcióval kapcsolatos további információkért lásd: Az eszköz belső vezérlőprogramjának konfigurációs felületi (DFCI-) profiljainak használata Windows-eszközökön.

• Kioszkok, megosztott eszközök és egyéb speciális eszközök konfigurálása:

  Android

  • Android Enterprise:

    • Android Enterprise-eszközök használata és kezelése AZ OEMConfig használatával
    • Kioszkeszköz-beállításként futó dedikált eszközök

  • Android-eszközadminisztrátor

    • Zebra-eszközök használata és kezelése Zebra mobilitási bővítményekkel
    • Kioszkként futtatandó eszközbeállítások

    Fontos

    Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre Intune a támogatás megszűnése előtt. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

  iOS/iPadOS

  • iOS/iPadOS
    • Önálló egyalkalmazásos módban (ASAM) futtatandó eszközbeállítások
    • Kioszkként futtatandó eszközbeállítások

  A Windows

  • A Windows

    • Dedikált kioszkként futtatandó eszközbeállítások
    • Kioszkként futtatandó eszközbeállítások
    • Megosztott PC- vagy többfelhasználós eszközök

  • Windows Holographic for Business

    • Kioszkként futtatandó eszközbeállítások
    • Dedikált kioszkként futtatandó eszközbeállítások

---

• Rendszerhéjszkriptek üzembe helyezése:

  • macOS: Rendszerhéjszkriptek használata
  • Windows: Windows PowerShell szkriptek használata

Kövesse a minimálisan ajánlott alapkonfigurációs szabályzatokat

1. Microsoft Intune beállítása
2. Alkalmazások hozzáadása, konfigurálása és védelme
3. Megfelelőségi szabályzatok tervezése
4. 🡺 Eszközfunkciók konfigurálása (Ön itt áll)
5. Eszközök regisztrálása