Bagikan melalui

Titik akhir aman dengan Zero Trust

  • Artikel

Latar belakang

Perusahaan modern memiliki keragaman titik akhir yang luar biasa mengakses data. Tidak semua titik akhir dikelola atau bahkan dimiliki oleh organisasi, yang mengarah ke konfigurasi perangkat dan tingkat patch perangkat lunak yang berbeda. Ini menciptakan permukaan serangan besar-besaran dan, jika dibiarkan tidak terselesaikan, mengakses data kerja dari titik akhir yang tidak tepercaya dapat dengan mudah menjadi tautan terlemah dalam strategi keamanan Zero Trust Anda.

Zero Trust mematuhi prinsip, "Jangan pernah percaya, selalu verifikasi." Dalam hal titik akhir, itu berarti selalu memverifikasi semua titik akhir. Itu tidak hanya mencakup perangkat kontraktor, mitra, dan tamu, tetapi juga aplikasi dan perangkat yang digunakan oleh karyawan untuk mengakses data kerja, terlepas dari kepemilikan perangkat.

Dalam pendekatan Zero Trust, kebijakan keamanan yang sama diterapkan terlepas dari apakah perangkat dimiliki perusahaan atau milik pribadi melalui bring your own device (BYOD); apakah perangkat dikelola sepenuhnya oleh IT, atau hanya aplikasi dan data yang diamankan. Kebijakan ini berlaku untuk semua titik akhir, baik PC, Mac, smartphone, tablet, wearable, atau perangkat IoT di mana pun mereka terhubung, baik itu jaringan perusahaan yang aman, broadband rumah, atau internet publik.

Yang terpenting, kesehatan dan kepercayaan aplikasi yang berjalan pada titik akhir tersebut berdampak pada postur keamanan Anda. Anda perlu mencegah data perusahaan bocor ke aplikasi atau layanan yang tidak tepercaya atau tidak diketahui, baik secara tidak sengaja atau melalui niat jahat.

Ada beberapa aturan utama untuk mengamankan perangkat dan titik akhir dalam model Zero Trust:

  • Kebijakan keamanan Zero Trust diberlakukan secara terpusat melalui cloud dan mencakup keamanan titik akhir, konfigurasi perangkat, perlindungan aplikasi, kepatuhan perangkat, dan postur risiko.

  • Platform serta aplikasi yang berjalan di perangkat disediakan dengan aman, dikonfigurasi dengan benar, dan selalu diperbarui.

  • Ada respons otomatis dan prompt untuk berisi akses ke data perusahaan dalam aplikasi jika terjadi penyusupan keamanan.

  • Sistem kontrol akses memastikan bahwa semua kontrol kebijakan berlaku sebelum data diakses.

Tujuan penyebaran Titik Akhir Zero Trust

Sebelum sebagian besar organisasi memulai perjalanan Zero Trust, keamanan titik akhir mereka disiapkan sebagai berikut:

  • Titik akhir bergabung dengan domain dan dikelola dengan solusi seperti Objek Kebijakan Grup atau Manajer Konfigurasi. Ini adalah opsi yang bagus, tetapi tidak memanfaatkan CSP Windows 10 modern atau memerlukan appliance gateway manajemen cloud terpisah untuk melayani perangkat berbasis cloud.

  • Titik akhir harus berada di jaringan perusahaan untuk mengakses data. Ini bisa berarti bahwa perangkat diharuskan untuk secara fisik berada di situs untuk mengakses jaringan perusahaan, atau bahwa mereka memerlukan akses VPN, yang meningkatkan risiko bahwa perangkat yang disusupi dapat mengakses sumber daya perusahaan yang sensitif.

Saat menerapkan kerangka kerja Zero Trust end-to-end untuk mengamankan titik akhir, kami sarankan Anda fokus terlebih dahulu pada tujuan penyebaran awal ini:

Ikon daftar dengan satu tanda centang.

I.Endpoints terdaftar di penyedia identitas cloud. Untuk memantau keamanan dan risiko di beberapa titik akhir yang digunakan oleh satu orang, Anda memerlukan visibilitas di semua perangkat dan titik akses yang mungkin mengakses sumber daya Anda.

II.Akses hanya diberikan ke titik akhir dan aplikasi yang dikelola cloud dan sesuai. Atur aturan kepatuhan untuk memastikan bahwa perangkat memenuhi persyaratan keamanan minimum sebelum akses diberikan. Selain itu, tetapkan aturan remediasi untuk perangkat yang tidak patuh sehingga orang tahu cara menyelesaikan masalah.

III.Kebijakan pencegahan kehilangan data (DLP) diberlakukan untuk perangkat perusahaan dan BYOD. Kontrol apa yang dapat dilakukan pengguna dengan data setelah mereka memiliki akses. Misalnya, batasi penyimpanan file ke lokasi yang tidak tepercaya (seperti disk lokal), atau batasi berbagi salin dan tempel dengan aplikasi komunikasi konsumen atau aplikasi obrolan untuk melindungi data.

Setelah ini selesai, fokus pada tujuan penyebaran tambahan ini:

Ikon daftar dengan dua tanda centang.

IV.Deteksi ancaman titik akhir digunakan untuk memantau risiko perangkat. Gunakan satu panel kaca untuk mengelola semua titik akhir dengan cara yang konsisten, dan gunakan SIEM untuk merutekan log titik akhir dan transaksi sedemikian rupa sehingga Anda mendapatkan lebih sedikit, tetapi dapat ditindakkan, pemberitahuan.

Kontrol V.Access terjaga pada risiko titik akhir untuk perangkat perusahaan dan BYOD. Integrasikan data dari Microsoft Defender untuk Titik Akhir, atau vendor Mobile Threat Defense (MTD) lainnya, sebagai sumber informasi untuk kebijakan kepatuhan perangkat dan aturan Akses Bersyar perangkat. Risiko perangkat kemudian akan secara langsung memengaruhi sumber daya apa yang akan dapat diakses oleh pengguna perangkat tersebut.

Panduan penyebaran Titik Akhir Zero Trust

Panduan ini akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengamankan perangkat Anda mengikuti prinsip kerangka kerja keamanan Zero Trust.




Ikon daftar periksa dengan satu tanda centang.

Tujuan penyebaran awal

I. Titik akhir terdaftar di idP cloud

Untuk membantu membatasi paparan risiko, Anda perlu memantau setiap titik akhir untuk memastikan masing-masing memiliki identitas tepercaya, kebijakan keamanan diterapkan, dan tingkat risiko untuk hal-hal seperti malware atau penyelundupan data telah diukur, diperbaiki, atau dianggap dapat diterima.

Setelah perangkat terdaftar, pengguna dapat mengakses sumber daya organisasi Anda yang dibatasi menggunakan nama pengguna dan kata sandi perusahaan mereka untuk masuk (atau Windows Hello untuk Bisnis).

Diagram langkah-langkah dalam fase 1 dari tujuan penyebaran awal.

Mendaftarkan perangkat perusahaan dengan ID Microsoft Entra

Ikuti langkah-langkah ini:

Perangkat Windows 10 baru

  1. Mulai perangkat baru Anda dan mulai proses OOBE (pengalaman di luar kotak).

  2. Pada layar Masuk dengan Microsoft, ketik alamat email kantor atau sekolah Anda.

  3. Pada layar Masukkan kata sandi Anda, ketik kata sandi Anda.

  4. Pada perangkat seluler Anda, setujui perangkat Anda agar Anda dapat mengakses akun Anda.

  5. Selesaikan proses OOBE, termasuk pengaturan privasi Anda dan Windows Hello (jika perlu).

  6. Perangkat Anda sekarang terhubung dengan jaringan organisasi Anda.

Perangkat Windows 10 yang sudah ada

  1. Buka Pengaturan, lalu pilih Akun.

  2. Pilih Akses kantor atau sekolah, lalu pilih Sambungkan.

    Akses kantor atau sekolah di Pengaturan.

  3. Pada layar Siapkan akun kerja atau sekolah, pilih Gabungkan perangkat ini ke ID Microsoft Entra.

    Siapkan akun kerja atau sekolah di Pengaturan.

  4. Pada layar Mari kita masuk, ketik alamat email Anda (misalnya,alain@contoso.com), lalu pilih Berikutnya.

  5. Pada layar Masukkan kata sandi, ketik kata sandi Anda, lalu pilih Masuk.

  6. Pada perangkat seluler Anda, setujui perangkat Anda agar Anda dapat mengakses akun Anda.

  7. Pada layar Pastikan bahwa ini organisasi Anda, tinjau informasi untuk memastikan informasi tersebut benar, lalu pilih Gabung.

  8. Pada layar Anda telah siap, klik Selesai.

Mendaftarkan perangkat Windows pribadi dengan ID Microsoft Entra

Ikuti langkah-langkah ini:

  1. Buka Pengaturan, lalu pilih Akun.

  2. Pilih Akses kerja atau sekolah, lalu pilih Sambungkan dari layar Akses kerja atau sekolah.

    Akses kantor atau sekolah di Pengaturan.

  3. Pada layar Tambahkan akun kerja atau sekolah, ketik alamat email Anda untuk akun kerja atau sekolah Anda, lalu pilih Berikutnya. Contohnya,alain@contoso.com.

  4. Masuk ke akun kerja atau sekolah Anda, lalu pilih Masuk.

  5. Selesaikan sisa proses pendaftaran, termasuk menyetujui permintaan verifikasi identitas Anda (jika Anda menggunakan verifikasi dua langkah) dan siapkan Windows Hello (jika perlu).

Mengaktifkan dan mengonfigurasi Windows Hello untuk Bisnis

Untuk mengizinkan pengguna metode masuk alternatif yang menggantikan kata sandi, seperti PIN, autentikasi biometrik, atau pembaca sidik jari, aktifkan Windows Hello untuk Bisnis pada perangkat Windows 10 pengguna.

Tindakan Microsoft Intune dan Microsoft Entra berikut selesai di pusat admin Microsoft Endpoint Manager:

Mulailah dengan membuat kebijakan pendaftaran Windows Hello untuk Bisnis di Microsoft Intune.

  1. Buka Pendaftaran Perangkat >> Pendaftaran perangkat > pendaftaran Windows > Windows Hello untuk Bisnis.

    Windows Hello untuk Bisnis di Microsoft Intune.

  2. Pilih dari opsi berikut untuk Mengonfigurasi Windows Hello untuk Bisnis:

    1. Dinonaktifkan. Jika Anda tidak ingin menggunakan Windows Hello untuk Bisnis, pilih pengaturan ini. Jika dinonaktifkan, pengguna tidak dapat menyediakan Windows Hello untuk Bisnis kecuali pada ponsel yang bergabung dengan Microsoft Entra di mana provisi mungkin diperlukan.

    2. Diaktifkan. Pilih pengaturan ini jika Anda ingin mengonfigurasi pengaturan Windows Hello untuk Bisnis. Saat Anda memilih Diaktifkan, pengaturan tambahan untuk Windows Hello akan terlihat.

    3. Tidak dikonfigurasi. Pilih pengaturan ini jika Anda tidak ingin menggunakan Intune untuk mengontrol pengaturan Windows Hello untuk Bisnis. Pengaturan Windows Hello untuk Bisnis yang ada di perangkat Windows 10 tidak diubah. Semua pengaturan lain pada panel tidak tersedia.

Jika Anda memilih Diaktifkan, konfigurasikan pengaturan yang diperlukan yang diterapkan ke semua perangkat Windows 10 dan perangkat seluler Windows 10 yang terdaftar.

  1. Gunakan Modul Platform Tepercaya (TPM). Chip TPM menyediakan lapisan keamanan data tambahan. Pilih salah satu nilai berikut:

    1. Diperlukan. Hanya perangkat dengan TPM yang dapat diakses yang dapat menyediakan Windows Hello untuk Bisnis.

    2. Lebih disukai. Perangkat pertama kali mencoba menggunakan TPM. Jika opsi ini tidak tersedia, opsi ini dapat menggunakan enkripsi perangkat lunak.

  2. Atur panjang PIN minimum dan panjang PIN Maksimum. Ini mengonfigurasi perangkat untuk menggunakan panjang PIN minimum dan maksimum yang Anda tentukan untuk membantu memastikan rincian masuk yang aman. Panjang PIN default adalah enam karakter, tetapi Anda dapat memberlakukan panjang minimum empat karakter. Panjang PIN maksimum adalah 127 karakter.

  3. Atur kedaluwarsa PIN (hari). Adalah praktik yang baik untuk menentukan periode kedaluwarsa untuk PIN, setelah itu pengguna harus mengubahnya. Defaultnya adalah 41 hari.

  4. Ingat riwayat PIN. Membatasi penggunaan kembali VPN yang digunakan sebelumnya. Secara default, 5 PIN terakhir tidak dapat digunakan kembali.

  5. Gunakan anti-spoofing yang ditingkatkan, jika tersedia. Ini mengonfigurasi ketika fitur anti-spoofing Windows Hello digunakan pada perangkat yang mendukungnya. Misalnya, mendeteksi foto wajah, bukan wajah asli.

  6. Izinkan masuk melalui telepon. Jika opsi ini diatur ke Ya, pengguna dapat menggunakan paspor jarak jauh untuk berfungsi sebagai perangkat pendamping portabel untuk autentikasi komputer desktop. Komputer desktop harus bergabung dengan Microsoft Entra, dan perangkat pendamping harus dikonfigurasi dengan PIN Windows Hello untuk Bisnis.

Setelah Anda mengonfigurasi pengaturan ini, pilih Simpan.

Setelah mengonfigurasi pengaturan yang berlaku untuk semua perangkat Windows 10 terdaftar dan perangkat seluler Windows 10, siapkan profil Perlindungan Identitas Windows Hello untuk Bisnis untuk menyesuaikan pengaturan keamanan Windows Hello untuk Bisnis untuk perangkat pengguna akhir tertentu.

  1. Pilih Profil Konfigurasi Perangkat > Buat profil > Windows 10 dan Perlindungan Identitas Yang Lebih Baru >>.

    Cuplikan layar Buat profil dengan platform yang diatur ke Windows 10 dan profil diatur ke Perlindungan identitas.

  2. Konfigurasikan Windows Hello untuk Bisnis. Pilih bagaimana Anda ingin mengonfigurasi Windows Hello untuk Bisnis.

    Cuplikan layar pengaturan Konfigurasi di bawah Perlindungan identitas di profil Konfigurasi.

    1. Panjang PIN minimum.

    2. Huruf kecil dalam PIN.

    3. Huruf besar dalam PIN.

    4. Karakter khusus dalam PIN.

    5. Kedaluwarsa PIN (hari).

    6. Ingat riwayat PIN.

    7. Aktifkan pemulihan PIN. Memungkinkan pengguna menggunakan layanan pemulihan PIN Windows Hello untuk Bisnis.

    8. Gunakan Modul Platform Tepercaya (TPM). Chip TPM menyediakan lapisan keamanan data tambahan.

    9. Izinkan autentikasi biometrik. Mengaktifkan autentikasi biometrik, seperti pengenalan wajah atau sidik jari, sebagai alternatif untuk PIN untuk Windows Hello untuk Bisnis. Pengguna masih harus mengonfigurasi PIN jika autentikasi biometrik gagal.

    10. Gunakan anti-spoofing yang ditingkatkan, jika tersedia. Mengonfigurasi kapan fitur anti-spoofing Windows Hello digunakan pada perangkat yang mendukungnya (misalnya, mendeteksi foto wajah, bukan wajah asli).

    11. Gunakan kunci keamanan untuk masuk. Pengaturan ini tersedia untuk perangkat yang menjalankan Windows 10 versi 1903 atau yang lebih baru. Gunakan untuk mengelola dukungan untuk menggunakan kunci keamanan Windows Hello untuk masuk.

Terakhir, Anda dapat membuat kebijakan pembatasan perangkat tambahan untuk mengunci perangkat milik perusahaan lebih lanjut.

Tip

Pelajari tentang menerapkan strategi Zero identitas end-to-end.

II. Akses hanya diberikan ke titik akhir dan aplikasi yang dikelola cloud dan sesuai

Setelah Anda memiliki identitas untuk semua titik akhir yang mengakses sumber daya perusahaan dan sebelum akses diberikan, Anda ingin memastikan bahwa mereka memenuhi persyaratan keamanan minimum yang ditetapkan oleh organisasi Anda.

Setelah menetapkan kebijakan kepatuhan untuk gerbang akses sumber daya perusahaan ke titik akhir tepercaya dan aplikasi seluler dan desktop, semua pengguna dapat mengakses data organisasi di perangkat seluler dan versi sistem operasi minimum atau maksimum diinstal di semua perangkat. Perangkat tidak rusak di penjara atau berakar.

Selain itu, tetapkan aturan remediasi untuk perangkat yang tidak patuh, seperti memblokir perangkat yang tidak patuh atau menawarkan masa tenggang kepada pengguna agar sesuai.

Diagram langkah-langkah dalam fase 2 dari tujuan penyebaran awal.

Membuat kebijakan kepatuhan dengan Microsoft Intune (semua platform)

Ikuti langkah-langkah ini untuk membuat kebijakan kepatuhan:

  1. Pilih Kebijakan > Kepatuhan > Perangkat > Buat Kebijakan.

  2. Pilih Platform untuk kebijakan ini (Windows 10 yang digunakan misalnya di bawah).

  3. Pilih konfigurasi Device Health yang diinginkan.

    Cuplikan layar pengaturan kebijakan kepatuhan Device Health di Windows 10.

  4. Mengonfigurasi Properti Perangkat minimum atau maksimum.

    Cuplikan layar Properti Perangkat di pengaturan kebijakan kepatuhan Windows 10.

  5. Mengonfigurasi Kepatuhan Configuration Manager. Ini mengharuskan semua evaluasi kepatuhan di Configuration Manager agar sesuai dan hanya berlaku untuk perangkat Windows 10 yang dikomanase. Semua perangkat khusus Intune akan mengembalikan N/A.

  6. Konfigurasikan Pengaturan Keamanan Sistem.

    Cuplikan layar Pengaturan kebijakan kepatuhan Keamanan Sistem di Windows 10.

  7. Mengonfigurasi Microsoft Defender Antimalware.

    Cuplikan layar Microsoft Defender untuk Cloud di pengaturan kebijakan kepatuhan Windows 10.

  8. Konfigurasikan skor risiko komputer Microsoft Defender untuk Titik Akhir yang diperlukan.

    Cuplikan layar Pertahanan untuk Titik Akhir di pengaturan kebijakan kepatuhan Windows 10.

  9. Pada tab Tindakan untuk ketidakpatuhan, tentukan urutan tindakan yang akan diterapkan secara otomatis ke perangkat yang tidak memenuhi kebijakan kepatuhan ini.

    Cuplikan layar Tindakan untuk ketidakpatuhan dalam pengaturan kebijakan kepatuhan.

Mengotomatiskan email pemberitahuan dan menambahkan tindakan remediasi tambahan untuk perangkat yang tidak patuh di Intune (semua platform)

Saat titik akhir atau aplikasi mereka menjadi tidak patuh, pengguna dipandu melalui remediasi mandiri. Pemberitahuan secara otomatis dibuat dengan alarm tambahan dan tindakan otomatis yang diatur untuk ambang batas tertentu. Anda dapat mengatur tindakan remediasi non-kepatuhan .

Ambil langkah-langkah berikut:

  1. Pilih Kebijakan > Kepatuhan Perangkat > Pemberitahuan > Membuat pemberitahuan.

  2. Buat templat pesan pemberitahuan.

    Cuplikan layar Buat pemberitahuan dalam pengaturan kebijakan kepatuhan.

  3. Pilih Kebijakan Kepatuhan > Perangkat>, pilih salah satu kebijakan Anda, lalu pilih Properti.

  4. Pilih Tindakan untuk Penambahan ketidakpatuhan>.

  5. Tambahkan tindakan untuk ketidakpatuhan:

    Cuplikan layar Tindakan untuk ketidakpatuhan dalam pengaturan kebijakan kepatuhan.

    1. Siapkan email otomatis untuk pengguna dengan perangkat yang tidak patuh.

    2. Siapkan tindakan untuk mengunci perangkat yang tidak patuh dari jarak jauh.

    3. Siapkan tindakan untuk secara otomatis menghentikan perangkat yang tidak patuh setelah jumlah hari yang ditetapkan.

III. Kebijakan pencegahan kehilangan data (DLP) diberlakukan untuk perangkat perusahaan dan BYOD

Setelah akses data diberikan, Anda ingin mengontrol apa yang dapat dilakukan pengguna dengan data. Misalnya, jika pengguna mengakses dokumen dengan identitas perusahaan, Anda ingin mencegah dokumen tersebut disimpan di lokasi penyimpanan konsumen yang tidak terlindungi, atau dibagikan dengan komunikasi konsumen atau aplikasi obrolan.

Diagram langkah-langkah dalam fase 3 dari tujuan penyebaran awal.

Pertama, terapkan pengaturan keamanan yang direkomendasikan oleh Microsoft ke perangkat Windows 10 untuk melindungi data perusahaan (Memerlukan Windows 10 1809 dan yang lebih baru):

Gunakan garis besar keamanan Intune untuk membantu Anda mengamankan dan melindungi pengguna dan perangkat Anda. Garis besar keamanan adalah grup pengaturan Windows yang telah dikonfigurasi sebelumnya yang membantu Anda menerapkan sekelompok pengaturan yang diketahui dan nilai default yang direkomendasikan oleh tim keamanan yang relevan.

Ikuti langkah-langkah ini:

  1. Pilih Garis besar Keamanan keamanan > titik akhir untuk melihat daftar garis besar yang tersedia.

  2. Pilih garis besar yang ingin Anda gunakan, lalu pilih Buat profil.

  3. Pada tab Pengaturan konfigurasi, lihat grup Pengaturan yang tersedia di garis besar yang Anda pilih. Anda dapat memperluas grup untuk melihat pengaturan dalam grup tersebut dan nilai default untuk pengaturan tersebut di garis besar. Untuk menemukan pengaturan tertentu:

    1. Pilih grup untuk memperluas dan meninjau pengaturan yang tersedia.

    2. Gunakan bilah Pencarian dan tentukan kata kunci yang memfilter tampilan untuk menampilkan hanya grup yang berisi kriteria pencarian Anda.

    3. Konfigurasi ulang pengaturan default untuk memenuhi kebutuhan bisnis Anda.

      Cuplikan layar pengaturan Manajemen Aplikasi di Buat Profil.

  4. Pada tab Penugasan, pilih grup untuk disertakan lalu tetapkan garis besar ke satu atau beberapa grup. Untuk menyempurnakan tugas, gunakan Pilih grup untuk mengecualikan.

Pastikan pembaruan disebarkan secara otomatis ke titik akhir

Mengonfigurasi perangkat Windows 10

Konfigurasikan Pembaruan Windows untuk Bisnis guna menyederhanakan pengalaman manajemen pembaruan bagi pengguna dan pastikan perangkat diperbarui secara otomatis untuk memenuhi tingkat kepatuhan yang diperlukan.

Ikuti langkah-langkah ini:

  1. Kelola pembaruan perangkat lunak Windows 10 di Intune dengan membuat cincin pembaruan dan mengaktifkan kumpulan pengaturan yang mengonfigurasi kapan pembaruan Windows 10 akan diinstal.

    1. Pilih Perangkat > Windows > 10 Update Rings > Create.

    2. Di bawah Perbarui pengaturan cincin, konfigurasikan pengaturan untuk kebutuhan bisnis Anda.

      Cuplikan layar pengaturan Pembaruan dan Pengaturan pengalaman pengguna.

    3. Di bawah Penugasan, pilih + Pilih grup untuk disertakan, lalu tetapkan cincin pembaruan ke satu atau beberapa grup. Untuk menyempurnakan tugas, gunakan + Pilih grup untuk mengecualikan.

  2. Kelola pembaruan fitur Windows 10 di Intune untuk membawa perangkat ke versi Windows yang Anda tentukan (yaitu, 1803 atau 1809) dan bekukan set fitur pada perangkat tersebut hingga Anda memilih untuk memperbaruinya ke versi Windows yang lebih baru.

    1. Pilih Perangkat > Windows > 10 Pembaruan > fitur Buat.

    2. Di bawah Dasar, tentukan nama, deskripsi (opsional), dan, agar Pembaruan fitur disebarkan, pilih versi Windows dengan set fitur yang Anda inginkan, lalu pilih Berikutnya.

    3. Di bawah Penugasan, pilih dan pilih grup untuk disertakan lalu tetapkan penyebaran pembaruan fitur ke satu atau beberapa grup.

Mengonfigurasi perangkat iOS

Untuk perangkat yang terdaftar di perusahaan, konfigurasikan pembaruan iOS untuk menyederhanakan pengalaman manajemen pembaruan bagi pengguna dan pastikan perangkat diperbarui secara otomatis untuk memenuhi tingkat kepatuhan yang diperlukan. Mengonfigurasi kebijakan pembaruan iOS.

Ikuti langkah-langkah ini:

  1. Pilih Kebijakan Pembaruan Perangkat > untuk profil Buat iOS/iPadOS > .

  2. Pada tab Dasar, tentukan nama untuk kebijakan ini, tentukan deskripsi (opsional), lalu pilih Berikutnya.

  3. Pada tab Perbarui pengaturan kebijakan, konfigurasikan yang berikut ini:

    1. Pilih versi untuk diinstal. Anda dapat memilih dari:

      1. Pembaruan terbaru: Ini menyebarkan pembaruan terbaru yang dirilis untuk iOS/iPadOS.

      2. Versi sebelumnya yang tersedia di kotak dropdown. Jika Anda memilih versi sebelumnya, Anda juga harus menyebarkan kebijakan konfigurasi perangkat untuk menunda visibilitas pembaruan perangkat lunak.

    2. Jenis jadwal: Konfigurasikan jadwal untuk kebijakan ini:

      1. Perbarui pada check-in berikutnya. Pembaruan diinstal pada perangkat saat berikutnya memeriksa in dengan Intune. Ini adalah opsi paling sederhana dan tidak memiliki konfigurasi tambahan.

      2. Perbarui selama waktu terjadwal. Anda mengonfigurasi satu atau beberapa jendela waktu di mana pembaruan akan diinstal pada saat check-in.

      3. Perbarui di luar waktu terjadwal. Anda mengonfigurasi satu atau beberapa jendela waktu di mana pembaruan tidak akan diinstal pada saat check-in.

    3. Jadwal mingguan: Jika Anda memilih jenis jadwal selain pembaruan pada check-in berikutnya, konfigurasikan opsi berikut:

      Cuplikan layar Perbarui pengaturan kebijakan di Buat profil.

  4. Pilih zona waktu.

  5. Tentukan jendela waktu. Tentukan satu atau beberapa blok waktu yang membatasi saat pembaruan diinstal. Opsi termasuk hari mulai, waktu mulai, hari akhir, dan waktu akhir. Dengan menggunakan hari mulai dan akhir, blok semalam didukung. Jika Anda tidak mengonfigurasi waktu untuk memulai atau mengakhiri, konfigurasi tidak menghasilkan batasan dan pembaruan yang dapat diinstal kapan saja.

Pastikan perangkat dienkripsi

Mengonfigurasi Bitlocker untuk mengenkripsi perangkat Windows 10

  1. Pilih Profil > Konfigurasi Perangkat > Buat profil.

  2. Lihat opsi berikut:

    1. Platform: Windows 10 atau lebih baru

    2. Jenis profil: Perlindungan titik akhir

      Cuplikan layar Buat profil di profil Konfigurasi Perangkat untuk Windows 10.

  3. Pilih Pengaturan > Enkripsi Windows.

    Cuplikan layar perlindungan Titik Akhir di Buat profil.

  4. Konfigurasikan pengaturan untuk BitLocker untuk memenuhi kebutuhan bisnis Anda, lalu pilih OK.

Mengonfigurasi enkripsi FileVault pada perangkat macOS

  1. Pilih Profil > Konfigurasi Perangkat > Buat profil.

  2. Lihat opsi berikut:

    1. Platform: macOS.

    2. Jenis profil: Perlindungan titik akhir.

      Cuplikan layar Buat profil di profil Konfigurasi Perangkat untuk mac OS.

  3. Pilih Pengaturan > FileVault.

    Cuplikan layar File Vault di bawah Perlindungan titik akhir di Buat profil.

  4. Untuk FileVault, pilih Aktifkan.

  5. Untuk jenis kunci Pemulihan, hanya Kunci pribadi yang didukung.

  6. Konfigurasikan pengaturan FileVault yang tersisa untuk memenuhi kebutuhan bisnis Anda, lalu pilih OK.

Membuat kebijakan perlindungan aplikasi untuk melindungi data perusahaan di tingkat aplikasi

Untuk memastikan data Anda tetap aman atau terkandung dalam aplikasi terkelola, buat kebijakan perlindungan aplikasi (APP). Kebijakan dapat berupa aturan yang diterapkan saat pengguna mencoba mengakses atau memindahkan data "perusahaan", atau serangkaian tindakan yang dilarang atau dipantau saat pengguna berada di dalam aplikasi.

Kerangka kerja perlindungan data APP diatur ke dalam tiga tingkat konfigurasi yang berbeda, dengan setiap tingkat membangun dari tingkat sebelumnya:

  • Perlindungan data dasar perusahaan (Tingkat 1) memastikan bahwa aplikasi dilindungi dengan PIN dan dienkripsi, dan melakukan operasi penghapusan selektif. Untuk perangkat Android, tingkat ini memvalidasi pengesahan perangkat Android. Ini adalah konfigurasi tingkat entri yang menyediakan kontrol perlindungan data serupa dalam kebijakan kotak surat Exchange Online dan memperkenalkan TI dan populasi pengguna ke APP.

  • Perlindungan data yang ditingkatkan perusahaan (Tingkat 2) memperkenalkan mekanisme pencegahan kebocoran data APP dan persyaratan OS minimum. Ini adalah konfigurasi yang berlaku untuk sebagian besar pengguna seluler yang mengakses data kantor atau sekolah.

  • Perlindungan data tinggi perusahaan (Tingkat 3) memperkenalkan mekanisme perlindungan data tingkat lanjut, konfigurasi PIN yang ditingkatkan, dan APP Mobile Threat Defense. Konfigurasi ini diinginkan untuk pengguna yang mengakses data berisiko tinggi.

Ikuti langkah-langkah ini:

  1. Di portal Intune, pilih Aplikasi> Perlindungan aplikasi kebijakan. Pilihan ini membuka detail kebijakan Perlindungan aplikasi, tempat Anda membuat kebijakan baru dan mengedit kebijakan yang sudah ada.

  2. Pilih Buat kebijakan dan pilih iOS/iPadOS atau Android. Panel Buat kebijakan ditampilkan.

  3. Pilih aplikasi yang ingin Anda terapkan Kebijakan Perlindungan Aplikasi.

  4. Mengonfigurasi Pengaturan Perlindungan Data:

    1. Perlindungan data iOS/iPadOS. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi iOS/iPadOS - Perlindungan data.

    2. Perlindungan data Android. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi Android - Perlindungan data.

  5. Mengonfigurasi Pengaturan Persyaratan Akses:

    1. Persyaratan akses iOS/iPadOS. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi iOS/iPadOS - Persyaratan akses.

    2. Persyaratan akses Android. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi Android - Persyaratan akses.

  6. Mengonfigurasi Pengaturan Peluncuran Bersyar:

    1. Peluncuran berskala iOS/iPadOS. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi iOS/iPadOS - Peluncuran bersyarah.

    2. Peluncuran bersyar android. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi Android - Peluncuran bersyar.

  7. Klik Berikutnya untuk menampilkan halaman Penugasan .

  8. Setelah selesai, klik Buat untuk membuat kebijakan perlindungan aplikasi di Intune.

Tip

Pelajari tentang menerapkan strategi Zero Trust end-to-end untuk data.




Ikon daftar periksa dengan dua tanda centang.

Tujuan penyebaran tambahan

IV. Deteksi ancaman titik akhir digunakan untuk memantau risiko perangkat

Setelah Anda menyelesaikan tiga tujuan pertama, langkah selanjutnya adalah mengonfigurasi keamanan titik akhir sehingga perlindungan tingkat lanjut disediakan, diaktifkan, dan dipantau. Satu panel kaca digunakan untuk mengelola semua titik akhir secara konsisten bersama-sama.

Merutekan log dan transaksi titik akhir ke SIEM atau Power BI

Menggunakan gudang Data Intune, kirim data manajemen perangkat dan aplikasi ke alat pelaporan atau SIEM untuk pemfilteran pemberitahuan cerdas untuk mengurangi kebisingan.

Ikuti langkah-langkah ini:

  1. Pilih Gudang Data Gudang Data >Intune Laporan>.

  2. Salin URL umpan kustom. Misalnya: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Buka Power BI Desktop atau solusi SIEM Anda.

Dari solusi SIEM Anda

Pilih opsi untuk mengimpor atau mendapatkan data dari umpan Odata.

Dari PowerBI

  1. Dari menu, pilih File Dapatkan umpan OData Data >>.

  2. Tempelkan URL umpan kustom yang Anda salin dari langkah sebelumnya ke dalam kotak URL di jendela umpan OData.

  3. Pilih Dasar.

  4. Pilih OK.

  5. Pilih Akun organisasi, lalu masuk dengan kredensial Intune Anda.

    Cuplikan layar pengaturan umpan OData di akun Organisasi.

  6. Pilih Sambungkan. Navigator akan membuka dan menunjukkan daftar tabel di Gudang Data Intune.

  7. Pilih perangkat dan tabel ownerTypes. Pilih Muat. Power BI memuat data ke model.

  8. Membuat hubungan. Anda dapat mengimpor beberapa tabel untuk menganalisis bukan hanya data dalam satu tabel, tetapi data terkait di seluruh tabel. Power BI memiliki fitur yang disebut autodetect yang mencoba menemukan dan membuat hubungan untuk Anda. Tabel di Gudang Data telah dibuat untuk bekerja dengan fitur autodetect di Power BI. Namun, meskipun Power BI tidak menemukan hubungan secara otomatis, Anda masih bisa mengelola hubungan.

  9. Pilih Kelola Hubungan.

  10. Pilih Autodetect jika Power BI belum mendeteksi hubungan.

  11. Pelajari cara tingkat lanjut untuk menyiapkan visualisasi PowerBI.

V. Kontrol akses terjaga pada risiko titik akhir untuk perangkat perusahaan dan BYOD

Perangkat perusahaan terdaftar dengan layanan pendaftaran cloud seperti DEP, Android Enterprise, atau Windows AutoPilot

Membangun dan memelihara gambar sistem operasi yang disesuaikan adalah proses yang memakan waktu, dan mungkin termasuk menghabiskan waktu untuk menerapkan gambar sistem operasi kustom ke perangkat baru untuk mempersiapkannya untuk digunakan.

  • Dengan layanan pendaftaran cloud Microsoft Intune, Anda dapat memberikan perangkat baru kepada pengguna Anda tanpa perlu membangun, memelihara, dan menerapkan gambar sistem operasi kustom ke perangkat.

  • Windows Autopilot adalah kumpulan teknologi yang digunakan untuk menyiapkan dan mengonfigurasi perangkat baru sebelumnya, menyiapkannya untuk digunakan secara produktif. Anda juga dapat menggunakan Windows Autopilot untuk mengatur ulang, menggunakan kembali, dan memulihkan perangkat.

  • Konfigurasikan Windows Autopilot untuk mengotomatiskan gabungan Microsoft Entra dan mendaftarkan perangkat milik perusahaan baru ke Intune.

  • Konfigurasikan Apple DEP untuk mendaftarkan perangkat iOS dan iPadOS secara otomatis.

Produk yang tercakup dalam panduan ini

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Endpoint Manager (termasuk Microsoft Intune dan Configuration Manager)

Microsoft Defender untuk Titik Akhir

Bitlocker

Zero Trust dan jaringan OT Anda

Pertahanan Microsoft untuk IoT adalah solusi keamanan terpadu yang dibangun khusus untuk mengidentifikasi perangkat, kerentanan, dan ancaman di seluruh jaringan IoT dan teknologi operasional (OT). Gunakan Defender untuk IoT untuk menerapkan keamanan di seluruh lingkungan IoT/OT Anda, termasuk perangkat yang ada yang mungkin tidak memiliki agen keamanan bawaan.

Jaringan OT sering berbeda dari infrastruktur IT tradisional, dan membutuhkan pendekatan khusus untuk nol kepercayaan. Sistem OT menggunakan teknologi unik dengan protokol kepemilikan, dan mungkin memiliki platform penuaan dengan konektivitas dan daya terbatas, atau persyaratan keselamatan tertentu dan paparan unik terhadap serangan fisik.

Defender for IoT mendukung prinsip zero trust dengan mengatasi tantangan khusus OT, seperti:

  • Membantu Anda mengontrol koneksi jarak jauh ke dalam sistem OT Anda
  • Meninjau dan membantu Anda mengurangi interkoneksi antara sistem dependen
  • Menemukan satu titik kegagalan di jaringan Anda

Sebarkan sensor jaringan Defender for IoT untuk mendeteksi perangkat dan lalu lintas serta mengawasi kerentanan khusus OT. Segmentasikan sensor Anda ke situs dan zona di seluruh jaringan Anda untuk memantau lalu lintas antar zona, dan ikuti langkah-langkah mitigasi berbasis risiko Defender for IoT untuk menurunkan risiko di seluruh lingkungan OT Anda. Defender untuk IoT kemudian terus memantau perangkat Anda untuk perilaku anomali atau tidak sah.

Diagram Defender untuk IoT yang disebarkan dalam jaringan OT.

Integrasikan dengan layanan Microsoft, seperti Microsoft Sentinel dan layanan mitra lainnya, termasuk SIEM dan sistem tiket, untuk berbagi data Defender for IoT di seluruh organisasi Anda.

Untuk informasi selengkapnya, lihat:

Kesimpulan

Pendekatan Zero Trust dapat secara signifikan memperkuat postur keamanan perangkat dan titik akhir Anda. Untuk informasi lebih lanjut atau bantuan tentang implementasi, silakan hubungi tim Keberhasilan Pelanggan Anda, atau lanjutkan membaca bab lain dari panduan ini yang mencakup semua pilar Zero Trust.



Seri panduan penyebaran Zero Trust

Ikon untuk pengenalan

Ikon untuk identitas

Ikon untuk titik akhir

Ikon untuk aplikasi

Ikon untuk data

Ikon untuk infrastruktur

Ikon untuk jaringan

Ikon untuk visibilitas, otomatisasi, orkestrasi