Del via


Trinn 5. Distribuere enhetsprofiler i Microsoft Intune

Microsoft Intune omfatter innstillinger og funksjoner du kan aktivere eller deaktivere på forskjellige enheter i organisasjonen. Disse innstillingene og funksjonene legges til i «konfigurasjonsprofiler». Du kan opprette profiler for ulike enheter og ulike plattformer, inkludert iOS/iPadOS, Android-enhetsadministrator, Android Enterprise og Windows. Deretter bruker du Intune til å bruke eller «tilordne» profilen til enhetene.

Denne artikkelen gir veiledning om hvordan du kommer i gang med konfigurasjonsprofiler.

Det fjerde trinnet i mobile Enhetsbehandling for å håndheve sikre innstillinger på enheter med konfigurasjonsprofiler.

Konfigurasjonsprofiler gir deg muligheten til å konfigurere viktig beskyttelse og bringe enheter i samsvar slik at de får tilgang til ressursene dine. Tidligere ble disse konfigurasjonsendringene konfigurert ved hjelp av gruppepolicy innstillinger i Active Directory Domain Services. En moderne sikkerhetsstrategi inkluderer flytting av sikkerhetskontroller til skyen der håndheving av disse kontrollene ikke er avhengig av lokale ressurser og tilgang. Intune konfigurasjonsprofiler er måten å overføre disse sikkerhetskontrollene til skyen på.

Hvis du vil gi deg et inntrykk av hvilken type konfigurasjonsprofiler du kan opprette, kan du se Bruke funksjoner og innstillinger på enhetene dine ved hjelp av enhetsprofiler i Microsoft Intune.

Distribuer Windows-sikkerhetsgrunnlinjer for Intune

Hvis du vil justere enhetskonfigurasjonene til Microsofts sikkerhetsgrunnlinjer, anbefaler vi at du har grunnlinjene for sikkerhet i Microsoft Intune. Fordelen med denne fremgangsmåten er at du kan stole på at Microsoft holder grunnlinjene oppdatert når Windows 10 og 11 funksjoner utgis.

Hvis du vil distribuere Windows-sikkerhetsgrunnlinjene for Intune, tilgjengelig for Windows 10 og Windows 11. Se Bruke sikkerhetsgrunnlinjer til å konfigurere Windows-enheter i Intune for å finne ut mer om de tilgjengelige grunnlinjene.

Foreløpig kan du distribuere den mest relevante MDM-sikkerhetsgrunnlinjen. Se Behandle profilene for grunnlinje for sikkerhet i Microsoft Intune du kan opprette profilen og velge den opprinnelige versjonen.

Når Microsoft Defender for endepunkt er konfigurert senere og du har koblet til Intune, kan du distribuere grunnlinjene for Defender for endepunkt. Dette emnet er beskrevet i neste artikkel i denne serien: Trinn 6. Overvåk enhetsrisiko og overholdelse av sikkerhetsgrunnlinjer.

Det er viktig å forstå at disse grunnlinjene for sikkerhet ikke er CIS- eller NIST-kompatible, men speiler anbefalingene nøye. Hvis du vil ha mer informasjon, kan du se Er Intune sikkerhetsreferanser for CIS eller NIST-samsvar?

Tilpasse konfigurasjonsprofiler for organisasjonen

I tillegg til å distribuere de forhåndskonfigurerte grunnlinjene, implementerer mange organisasjoner i foretaksskala konfigurasjonsprofiler for mer detaljert kontroll. Denne konfigurasjonen bidrar til å redusere avhengigheten av gruppepolicy objekter i det lokal Active Directory miljøet og flytte sikkerhetskontroller til skyen.

De mange innstillingene du kan konfigurere ved hjelp av konfigurasjonsprofiler, kan grupperes i fire kategorier, som vist nedenfor.

Intune enhetsprofilkategorier, inkludert enhetsfunksjoner, enhetsbegrensninger, tilgangskonfigurasjon og egendefinerte innstillinger.

Tabellen nedenfor beskriver illustrasjonen.

Kategori Beskrivelse Eksempler
Enhetsfunksjoner Kontrollerer funksjoner på enheten. Denne kategorien gjelder bare for iOS-/iPadOS- og macOS-enheter. Airprint, varsler, låseskjermmeldinger
Enhetsbegrensninger Kontrollerer sikkerhet, maskinvare, datadeling og flere innstillinger på enhetene Krev en PIN-kode, datakryptering
Tilgangskonfigurasjon Konfigurerer en enhet for å få tilgang til organisasjonens ressurser E-postprofiler, VPN-profiler Wi-Fi innstillinger, sertifikater
Egendefinerte Angi egendefinert konfigurasjon eller utføre egendefinerte konfigurasjonshandlinger Angi OEM-innstillinger, kjør PowerShell-skript

Bruk følgende veiledning når du tilpasser konfigurasjonsprofiler for organisasjonen:

  • Forenkle strategien for sikkerhetsstyring ved å holde det totale antallet policyer små.
  • Gruppeinnstillinger i kategoriene som er oppført ovenfor, eller kategorier som gir mening for organisasjonen.
  • Når du flytter sikkerhetskontroller fra gruppepolicy Objects (GPO) til Intune konfigurasjonsprofiler, bør du vurdere om innstillingene som er konfigurert av hvert gruppepolicyobjekt, fortsatt er relevante og nødvendige for å bidra til den generelle sikkerhetsstrategien i skyen. Betinget tilgang og de mange policyene som kan konfigureres på tvers av skytjenester, inkludert Intune, gir mer avansert beskyttelse enn det som kan konfigureres i et lokalt miljø der egendefinerte gpOer opprinnelig ble utformet.
  • Bruk gruppepolicy Analytics til å sammenligne og tilordne gjeldende GPO-innstillinger til funksjoner i Microsoft Intune. Se Analysere lokale gruppepolicyobjekter (GPO) ved hjelp av gruppepolicy analyser i Microsoft Intune.
  • Når du bruker egendefinerte konfigurasjonsprofiler, må du bruke veiledningen her: Opprett en profil med egendefinerte innstillinger i Intune.

Flere ressurser

Hvis du ikke er sikker på hvor du skal begynne med enhetsprofiler, kan følgende hjelpe:

Hvis miljøet ditt inkluderer lokale gpoer, er følgende funksjoner en god overgang til skyen:

Neste trinn:

Gå til trinn 6. Overvåk enhetsrisiko og overholdelse av sikkerhetsgrunnlinjer.