5. lépés: Eszközprofilok üzembe helyezése Microsoft Intune
Microsoft Intune olyan beállításokat és funkciókat tartalmaz, amelyeket a szervezet különböző eszközein engedélyezhet vagy tilthat le. Ezek a beállítások és funkciók hozzá lesznek adva a "konfigurációs profilokhoz". Különböző eszközökhöz és platformokhoz hozhat létre profilokat, például iOS/iPadOS, Android-eszközadminisztrátor, Android Enterprise és Windows rendszerhez. Ezután a Intune használatával alkalmazza vagy "rendelje hozzá" a profilt az eszközökhöz.
Ez a cikk útmutatást nyújt a konfigurációs profilok használatának első lépéseihez.
A konfigurációs profilok lehetővé teszik a fontos védelem konfigurálását és az eszközök megfelelőségének biztosítását, hogy hozzáférhessenek az erőforrásokhoz. Korábban az ilyen konfigurációs módosításokat a Active Directory tartományi szolgáltatások Csoportházirend beállításaival konfigurálták. A modern biztonsági stratégia magában foglalja a biztonsági vezérlők felhőbe való áthelyezését, ahol ezeknek a vezérlőknek a kikényszerítése nem függ a helyszíni erőforrásoktól és a hozzáféréstől. Intune konfigurációs profilokkal át lehet váltani ezeket a biztonsági vezérlőket a felhőbe.
A létrehozható konfigurációs profilok típusáról a Funkciók és beállítások alkalmazása az eszközökre eszközprofilok használatával a Microsoft Intune című témakörben olvashat.
Windows biztonsági alapkonfigurációk üzembe helyezése Intune
Kiindulási pontként, ha az eszközkonfigurációkat a Microsoft biztonsági alapkonfigurációihoz szeretné igazítani, javasoljuk, hogy a biztonsági alapkonfigurációkat Microsoft Intune belül. Ennek a megközelítésnek az az előnye, hogy a Microsoftra támaszkodva naprakészen tarthatja az alapkonfigurációkat, Windows 10 és 11 funkció megjelenésekor.
Az Intune windowsos biztonsági alapkonfigurációinak üzembe helyezéséhez elérhető Windows 10 és Windows 11. Az elérhető alapkonfigurációkról a Windows-eszközök konfigurálása a Intune biztonsági alapkonfigurációkkal című témakörben olvashat.
Egyelőre csak helyezze üzembe a legmegfelelőbb MDM biztonsági alapkonfigurációt. A profil létrehozásához és az alapkonfiguráció verziójának kiválasztásához lásd: Biztonsági alapkonfiguráció-profilok kezelése a Microsoft Intune.
Később, amikor Végponthoz készült Microsoft Defender be van állítva, és csatlakoztatta Intune, helyezze üzembe a Végponthoz készült Defender alapkonfigurációit. Ezt a témakört a sorozat következő cikke, a 6. lépés ismerteti. Monitorozza az eszközkockázatot és a biztonsági alapkonfigurációknak való megfelelést.
Fontos tisztában lenni azzal, hogy ezek a biztonsági alapkonfigurációk nem CIS- vagy NIST-kompatibilisek, de szorosan tükrözik a javaslataikat. További információ: A Intune biztonsági alapkonfigurációk CIS- vagy NIST-kompatibilisek?
A szervezet konfigurációs profiljainak testreszabása
Az előre konfigurált alapkonfigurációk üzembe helyezése mellett számos nagyvállalati szintű szervezet konfigurációs profilokat implementál a részletesebb vezérlés érdekében. Ez a konfiguráció segít csökkenteni a helyi Active Directory környezetben lévő Csoportházirend objektumoktól való függőséget, és áthelyezi a biztonsági vezérlőket a felhőbe.
A konfigurációs profilok használatával konfigurálható számos beállítás négy kategóriába sorolható, ahogy az alább látható.
Az alábbi táblázat az ábrát ismerteti.
Kategória | Leírás | Példák |
---|---|---|
Eszközfunkciók | Szabályozza az eszköz funkcióit. Ez a kategória csak iOS/iPadOS és macOS rendszerű eszközökre vonatkozik. | Airprint, értesítések, zárolási képernyő üzenetei |
Eszközkorlátozások | Szabályozza az eszközök biztonságát, hardverét, adatmegosztását és további beállításait | PIN-kód megkövetelése, adattitkosítás |
Hozzáférés konfigurációja | Eszköz konfigurálása a szervezet erőforrásainak eléréséhez | Email profilok, VPN-profilok, Wi-Fi beállítások, tanúsítványok |
Egyéni | Egyéni konfiguráció beállítása vagy egyéni konfigurációs műveletek végrehajtása | OEM-beállítások megadása, PowerShell-szkriptek végrehajtása |
A szervezeti konfigurációs profilok testreszabásához kövesse az alábbi útmutatót:
- Egyszerűsítse a biztonsági szabályozási stratégiát úgy, hogy a szabályzatok teljes számát alacsonyan tartja.
- Csoportosítsa a beállításokat a fent felsorolt kategóriákba vagy a szervezet számára értelmezhető kategóriákba.
- Amikor biztonsági vezérlőket helyez át Csoportházirend objektumokból Intune konfigurációs profilokba, gondolja át, hogy az egyes csoportházirend-objektumok által konfigurált beállítások továbbra is relevánsak-e, és szükségesek-e ahhoz, hogy hozzájáruljanak a teljes felhőbiztonsági stratégiához. A feltételes hozzáférés és a felhőszolgáltatások között konfigurálható számos szabályzat, köztük a Intune, kifinomultabb védelmet nyújtanak, mint amelyet egy olyan helyszíni környezetben lehetett konfigurálni, ahol eredetileg egyéni csoportházirend-objektumokat terveztek.
- Az Csoportházirend Analytics használatával összehasonlíthatja és leképezheti az aktuális csoportházirend-objektum beállításait a Microsoft Intune képességeire. Lásd: A helyszíni csoportházirend-objektumok (GPO) elemzése Csoportházirend elemzéssel Microsoft Intune.
- Egyéni konfigurációs profilok használatakor mindenképpen használja a következő útmutatót: Profil létrehozása egyéni beállításokkal Intune.
További források
Ha nem biztos abban, hogy hol kezdjen eszközprofilokkal, az alábbiak segíthetnek:
Ha a környezet helyszíni csoportházirend-objektumokat tartalmaz, az alábbi funkciók jó áttérést jelentenek a felhőre:
További lépés
Lépjen a 6. lépésre. Monitorozza az eszközkockázatot és a biztonsági alapkonfigurációknak való megfelelést.