Konfigurowanie Microsoft Intune dla Zero Trust: Bezpieczne dzierżawy (wersja zapoznawcza)

Ochrona dzierżawy Intune jest niezbędna do wymuszania zasad Zero Trust i utrzymywania bezpiecznego, dobrze zarządzanego środowiska. Zalecenia te są zgodne z inicjatywą Bezpieczna przyszłość firmy Microsoft, ograniczając promień wybuchu i wymuszając dostęp z najniższymi uprawnieniami za pośrednictwem segmentowej kontroli administracyjnej, bezpiecznego dołączania urządzeń i ochrony opartej na zasadach. Razem pomagają one zmniejszyć ryzyko, utrzymać higienę dzierżawy i wzmocnić zgodność między platformami.

zalecenia dotyczące zabezpieczeń Zero Trust

Konfiguracja tagu zakresu jest wymuszana w celu obsługi administracji delegowanej i dostępu z najniższymi uprawnieniami

Jeśli tagi zakresu Intune nie są prawidłowo skonfigurowane na potrzeby administracji delegowanej, osoby atakujące uzyskujące uprzywilejowany dostęp do Intune lub Microsoft Entra ID mogą eskalować uprawnienia i uzyskiwać dostęp do poufnych konfiguracji urządzeń w dzierżawie. Bez szczegółowych tagów zakresu granice administracyjne są niejasne, dzięki czemu osoby atakujące mogą przenosić się później, manipulować zasadami urządzeń, eksfiltrować dane konfiguracji lub wdrażać złośliwe ustawienia dla wszystkich użytkowników i urządzeń. Jedno konto administratora z naruszeniem zabezpieczeń może mieć wpływ na całe środowisko. Brak administracji delegowanej osłabia również dostęp o najniższych uprawnieniach, utrudniając powstrzymanie naruszeń i egzekwowanie odpowiedzialności. Osoby atakujące mogą wykorzystać role administratora globalnego lub błędnie skonfigurowane przypisania kontroli dostępu opartej na rolach (RBAC), aby obejść zasady zgodności i uzyskać szeroką kontrolę nad zarządzaniem urządzeniami.

Wymuszanie tagów zakresu segmentuje dostęp administracyjny i dostosowuje go do granic organizacji. Ogranicza to promień wybuchu kont, których bezpieczeństwo zostało naruszone, obsługuje dostęp z najniższymi uprawnieniami i jest zgodne z zasadami Zero Trust segmentacji, kontroli opartej na rolach i hermetyzacji.

Akcja korygowania

Użyj tagów zakresu Intune i ról RBAC, aby ograniczyć dostęp administratora na podstawie roli, geografii lub jednostki biznesowej:

Powiadomienia dotyczące rejestracji urządzeń są wymuszane w celu zapewnienia świadomości użytkowników i bezpiecznego dołączania

Bez powiadomień o rejestracji urządzeń użytkownicy mogą nie wiedzieć, że ich urządzenie zostało zarejestrowane w Intune — szczególnie w przypadku nieautoryzowanej lub nieoczekiwanej rejestracji. Ten brak widoczności może opóźnić zgłaszanie podejrzanych działań przez użytkowników i zwiększyć ryzyko uzyskania dostępu do zasobów firmy przez urządzenia niezarządzane lub naruszone. Osoby atakujące, które uzyskują poświadczenia użytkownika lub wykorzystują przepływy samorejestracyjności, mogą dyskretnie dołączać urządzenia, pomijając kontrolę użytkowników i włączając ekspozycję na dane lub przenoszenie boczne.

Powiadomienia dotyczące rejestracji zapewniają użytkownikom lepszy wgląd w działania dołączania urządzeń. Ułatwiają one wykrywanie nieautoryzowanej rejestracji, wzmacnianie bezpiecznych praktyk aprowizacji oraz obsługę Zero Trust zasad widoczności, weryfikacji i zaangażowania użytkowników.

Akcja korygowania

Skonfiguruj powiadomienia dotyczące rejestracji Intune, aby otrzymywać alerty dla użytkowników po zarejestrowaniu ich urządzenia i wzmacniać praktyki bezpiecznego dołączania:

Automatyczna rejestracja urządzeń z systemem Windows jest wymuszana w celu wyeliminowania ryzyka związanego z niezarządzanymi punktami końcowymi

Jeśli automatyczna rejestracja systemu Windows nie jest włączona, urządzenia niezarządzane mogą stać się punktem wejścia dla osób atakujących. Podmioty zagrożeń mogą używać tych urządzeń do uzyskiwania dostępu do danych firmowych, pomijania zasad zgodności i wprowadzania luk w zabezpieczeniach w środowisku. Urządzenia przyłączone do Microsoft Entra bez rejestracji Intune tworzą luki w widoczności i kontroli. Te niezarządzane punkty końcowe mogą uwidocznić słabe strony systemu operacyjnego lub błędnie skonfigurowane aplikacje, które osoby atakujące mogą wykorzystać.

Wymuszanie automatycznej rejestracji gwarantuje, że urządzenia z systemem Windows są zarządzane od samego początku, co zapewnia spójne wymuszanie zasad i wgląd w zgodność. Obsługuje to Zero Trust przez zapewnienie, że wszystkie urządzenia są weryfikowane, monitorowane i zarządzane przez mechanizmy kontroli zabezpieczeń.

Akcja korygowania

Włącz automatyczną rejestrację urządzeń z systemem Windows przy użyciu Intune i Microsoft Entra, aby zapewnić zarządzanie wszystkimi urządzeniami przyłączonymi do domeny lub przyłączonymi do Entra:

Więcej informacji można znaleźć w następujących artykułach:

Zasady zgodności chronią urządzenia z systemem Windows

Jeśli zasady zgodności dla urządzeń z systemem Windows nie są skonfigurowane i przypisane, aktorzy zagrożeń mogą wykorzystać niezarządzane lub niezgodne punkty końcowe, aby uzyskać nieautoryzowany dostęp do zasobów firmowych, pominąć mechanizmy kontroli zabezpieczeń i utrwalić się w środowisku. Bez wymuszania zgodności urządzenia mogą nie mieć krytycznych konfiguracji zabezpieczeń, takich jak szyfrowanie funkcji BitLocker, wymagania dotyczące haseł, ustawienia zapory i kontrolki wersji systemu operacyjnego. Te luki zwiększają ryzyko wycieku danych, eskalacji uprawnień i przenoszenia bocznego. Niespójna zgodność urządzeń osłabia stan bezpieczeństwa organizacji i utrudnia wykrywanie i korygowanie zagrożeń przed wystąpieniem znacznych szkód.

Wymuszanie zasad zgodności zapewnia, że urządzenia z systemem Windows spełniają podstawowe wymagania dotyczące zabezpieczeń i obsługują Zero Trust przez weryfikowanie kondycji urządzeń i zmniejszanie narażenia na błędnie skonfigurowane punkty końcowe.

Akcja korygowania

Tworzenie i przypisywanie zasad zgodności Intune do urządzeń z systemem Windows w celu wymuszania standardów organizacyjnych dotyczących bezpiecznego dostępu i zarządzania:

Zasady zgodności chronią urządzenia z systemem macOS

Jeśli zasady zgodności dla urządzeń z systemem macOS nie są skonfigurowane i przypisane, aktorzy zagrożeń mogą wykorzystać niezarządzane lub niezgodne punkty końcowe, aby uzyskać nieautoryzowany dostęp do zasobów firmowych, pominąć mechanizmy kontroli zabezpieczeń i utrwalić się w środowisku. Bez wymuszania zgodności urządzenia z systemem macOS mogą nie mieć krytycznych konfiguracji zabezpieczeń, takich jak szyfrowanie magazynu danych, wymagania dotyczące haseł i mechanizmy kontroli wersji systemu operacyjnego. Te luki zwiększają ryzyko wycieku danych, eskalacji uprawnień i przenoszenia bocznego. Niespójna zgodność urządzeń osłabia stan bezpieczeństwa organizacji i utrudnia wykrywanie i korygowanie zagrożeń przed wystąpieniem znacznych szkód.

Wymuszanie zasad zgodności zapewnia, że urządzenia z systemem macOS spełniają podstawowe wymagania dotyczące zabezpieczeń i obsługują Zero Trust przez weryfikowanie kondycji urządzeń i zmniejszanie narażenia na błędnie skonfigurowane punkty końcowe.

Działania naprawcze

Tworzenie i przypisywanie zasad zgodności Intune do urządzeń z systemem macOS w celu wymuszania standardów organizacji w zakresie bezpiecznego dostępu i zarządzania:

Zasady zgodności chronią w pełni zarządzane i należące do firmy urządzenia z systemem Android

Jeśli zasady zgodności nie są przypisane do w pełni zarządzanych urządzeń z systemem Android Enterprise w Intune, aktorzy zagrożeń mogą wykorzystać niezgodne punkty końcowe, aby uzyskać nieautoryzowany dostęp do zasobów firmowych, pominąć mechanizmy kontroli zabezpieczeń i utrzymywać się w środowisku. Bez wymuszania zgodności urządzenia mogą nie mieć krytycznych konfiguracji zabezpieczeń, takich jak wymagania dotyczące kodu dostępu, szyfrowanie magazynu danych i mechanizmy kontroli wersji systemu operacyjnego. Te luki zwiększają ryzyko wycieku danych, eskalacji uprawnień i przenoszenia bocznego. Niespójna zgodność urządzeń osłabia stan bezpieczeństwa organizacji i utrudnia wykrywanie i korygowanie zagrożeń przed wystąpieniem znacznych szkód.

Wymuszanie zasad zgodności zapewnia, że urządzenia z systemem Android Enterprise spełniają podstawowe wymagania dotyczące zabezpieczeń i obsługują Zero Trust przez weryfikowanie kondycji urządzeń i zmniejszanie narażenia na błędnie skonfigurowane lub niezarządzane punkty końcowe.

Akcja korygowania

Tworzenie i przypisywanie zasad zgodności Intune do w pełni zarządzanych i należących do firmy urządzeń z systemem Android Enterprise w celu wymuszania standardów organizacji dotyczących bezpiecznego dostępu i zarządzania:

Zasady zgodności chronią urządzenia z systemem Android należące do użytkownika

Jeśli zasady zgodności nie są przypisane do urządzeń osobistych z systemem Android Enterprise w Intune, aktorzy zagrożeń mogą wykorzystać niezgodne punkty końcowe, aby uzyskać nieautoryzowany dostęp do zasobów firmowych, pominąć mechanizmy kontroli zabezpieczeń i wprowadzić luki w zabezpieczeniach. Bez wymuszania zgodności urządzenia mogą nie mieć krytycznych konfiguracji zabezpieczeń, takich jak wymagania dotyczące kodu dostępu, szyfrowanie magazynu danych i mechanizmy kontroli wersji systemu operacyjnego. Te luki zwiększają ryzyko wycieku danych i nieautoryzowanego dostępu. Niespójna zgodność urządzeń osłabia stan bezpieczeństwa organizacji i utrudnia wykrywanie i korygowanie zagrożeń przed wystąpieniem znacznych szkód.

Wymuszanie zasad zgodności gwarantuje, że urządzenia z systemem Android należące do użytkownika spełniają podstawowe wymagania dotyczące zabezpieczeń i obsługują Zero Trust przez weryfikowanie kondycji urządzeń i zmniejszanie narażenia na błędnie skonfigurowane lub niezarządzane punkty końcowe.

Akcja korygowania

Tworzenie i przypisywanie zasad zgodności Intune do urządzeń osobistych z systemem Android Enterprise w celu wymuszania standardów organizacji w zakresie bezpiecznego dostępu i zarządzania:

Zasady zgodności chronią urządzenia z systemem iOS/iPadOS

Jeśli zasady zgodności nie są przypisane do urządzeń z systemem iOS/iPadOS w Intune, aktorzy zagrożeń mogą wykorzystać niezgodne punkty końcowe, aby uzyskać nieautoryzowany dostęp do zasobów firmowych, pominąć mechanizmy kontroli zabezpieczeń i utrzymywać się w środowisku. Bez wymuszania zgodności urządzenia mogą nie mieć krytycznych konfiguracji zabezpieczeń, takich jak wymagania dotyczące kodu dostępu i mechanizmy kontroli wersji systemu operacyjnego. Te luki zwiększają ryzyko wycieku danych, eskalacji uprawnień i przenoszenia bocznego. Niespójna zgodność urządzeń osłabia stan bezpieczeństwa organizacji i utrudnia wykrywanie i korygowanie zagrożeń przed wystąpieniem znacznych szkód.

Wymuszanie zasad zgodności zapewnia, że urządzenia z systemem iOS/iPadOS spełniają podstawowe wymagania dotyczące zabezpieczeń i obsługują Zero Trust przez weryfikowanie kondycji urządzeń i zmniejszanie narażenia na błędnie skonfigurowane lub niezarządzane punkty końcowe.

Akcja korygowania

Tworzenie i przypisywanie zasad zgodności Intune do urządzeń z systemem iOS/iPadOS w celu wymuszania standardów organizacji w zakresie bezpiecznego dostępu i zarządzania:

Logowanie jednokrotne platformy jest skonfigurowane w celu wzmocnienia uwierzytelniania na urządzeniach z systemem macOS

Jeśli zasady logowania jednokrotnego platformy nie są wymuszane na urządzeniach z systemem macOS, punkty końcowe mogą polegać na niezabezpieczonych lub niespójnych mechanizmach uwierzytelniania, umożliwiając osobom atakującym obejście zasad dostępu warunkowego i zgodności. Spowoduje to otwarcie drzwi do przenoszenia bocznego między usługami w chmurze i zasobami lokalnymi, szczególnie w przypadku użycia tożsamości federacyjnych. Aktorzy zagrożeń mogą nadal korzystać ze skradzionych tokenów lub buforowanych poświadczeń i eksfiltrować dane poufne za pośrednictwem niezarządzanych aplikacji lub sesji przeglądarki. Brak wymuszania logowania jednokrotnego podważa również zasady ochrony aplikacji i oceny stanu urządzeń, co utrudnia wykrywanie i ograniczanie naruszeń. Ostatecznie nieskonfigurowanie i przypisanie zasad logowania jednokrotnego platformy systemu macOS zagraża bezpieczeństwu tożsamości i osłabia stan Zero Trust organizacji.

Wymuszanie zasad logowania jednokrotnego platformy na urządzeniach z systemem macOS zapewnia spójne i bezpieczne uwierzytelnianie w aplikacjach i usługach. Wzmacnia to ochronę tożsamości, obsługuje wymuszanie dostępu warunkowego i dostosowuje się do Zero Trust, zmniejszając zależność od poświadczeń lokalnych i poprawiając ocenę stanu.

Akcja korygowania

Użyj Intune, aby skonfigurować i przypisać zasady logowania jednokrotnego platformy dla urządzeń z systemem macOS, aby wymusić bezpieczne uwierzytelnianie i wzmocnić ochronę tożsamości, zobacz:

Automatyczne rejestrowanie w usłudze Defender for Endpoint jest wymuszane w celu zmniejszenia ryzyka związanego z niezarządzanymi zagrożeniami systemu Android

Jeśli automatyczna rejestracja w Ochrona punktu końcowego w usłudze Microsoft Defender nie jest skonfigurowana dla urządzeń z systemem Android w Intune, zarządzane punkty końcowe mogą pozostać niezabezpieczone przed zagrożeniami mobilnymi. Bez dołączania do usługi Defender urządzenia nie mają zaawansowanych możliwości wykrywania zagrożeń i reagowania, co zwiększa ryzyko złośliwego oprogramowania, wyłudzania informacji i innych ataków opartych na urządzeniach przenośnych. Niechronione urządzenia mogą pomijać zasady zabezpieczeń, uzyskiwać dostęp do zasobów firmowych i ujawniać dane poufne w celu naruszenia zabezpieczeń. Ta luka w zabezpieczeniach przed zagrożeniami mobilnymi osłabia stan Zero Trust organizacji i zmniejsza widoczność kondycji punktu końcowego.

Włączenie automatycznej rejestracji w usłudze Defender zapewnia ochronę urządzeń z systemem Android za pomocą zaawansowanych funkcji wykrywania zagrożeń i reagowania na nie. Obsługuje to Zero Trust przez wymuszanie ochrony przed zagrożeniami mobilnymi, poprawę widoczności i zmniejszenie narażenia na niezarządzane lub naruszone punkty końcowe.

Akcja korygowania

Użyj Intune, aby skonfigurować automatyczną rejestrację w Ochrona punktu końcowego w usłudze Microsoft Defender dla urządzeń z systemem Android, aby wymusić ochronę przed zagrożeniami mobilnymi:

Reguły oczyszczania urządzeń utrzymują higienę dzierżawy, ukrywając nieaktywne urządzenia

Jeśli reguły oczyszczania urządzenia nie są skonfigurowane w Intune, nieaktualne lub nieaktywne urządzenia mogą pozostać widoczne w dzierżawie przez czas nieokreślony. Prowadzi to do zaśmieconych list urządzeń, niedokładnego raportowania i ograniczonego wglądu w poziom aktywnych urządzeń. Nieużywane urządzenia mogą zachowywać poświadczenia dostępu lub tokeny, co zwiększa ryzyko nieautoryzowanego dostępu lub błędnych decyzji dotyczących zasad.

Reguły oczyszczania urządzeń automatycznie ukrywają nieaktywne urządzenia przed widokami i raportami administratorów, poprawiając higienę dzierżawy i zmniejszając obciążenia administracyjne. Obsługuje to Zero Trust dzięki zachowaniu dokładnego i wiarygodnego spisu urządzeń przy jednoczesnym zachowaniu danych historycznych na potrzeby inspekcji lub badania.

Akcja korygowania

Skonfiguruj reguły oczyszczania urządzenia Intune, aby automatycznie ukrywać nieaktywne urządzenia w dzierżawie:

Więcej informacji można znaleźć w następujących artykułach:

Zasady warunków i postanowień chronią dostęp do dane poufne

Jeśli zasady warunków i postanowień nie są skonfigurowane i przypisane w Intune, użytkownicy mogą uzyskiwać dostęp do zasobów firmowych bez zgody na wymagane warunki prawne, zabezpieczeń lub użycia. To pominięcie naraża organizację na ryzyko związane ze zgodnością, zobowiązania prawne i potencjalne nieprawidłowe wykorzystanie zasobów.

Wymuszanie warunków i postanowień zapewnia użytkownikom potwierdzanie i akceptowanie zasad firmy przed uzyskaniem dostępu do dane poufne lub systemów, obsługując zgodność z przepisami i odpowiedzialne użycie zasobów.

Akcja korygowania

Utwórz i przypisz zasady dotyczące warunków i postanowień w Intune, aby wymagać akceptacji użytkownika przed udzieleniem dostępu do zasobów firmy:

Portal firmy ustawienia znakowania i obsługi technicznej zwiększają komfort i zaufanie użytkowników

Jeśli znakowanie Intune — Portal firmy nie jest skonfigurowane do reprezentowania szczegółów organizacji, użytkownicy mogą napotkać ogólny interfejs i brak bezpośrednich informacji o pomocy technicznej. Zmniejsza to zaufanie użytkowników, zwiększa obciążenie związane z obsługą i może prowadzić do nieporozumień lub opóźnień w rozwiązywaniu problemów.

Dostosowanie Portal firmy do informacji kontaktowych dotyczących znakowania i pomocy technicznej organizacji zwiększa zaufanie użytkowników, usprawnia obsługę i wzmacnia zasadność komunikacji zarządzania urządzeniami.

Akcja korygowania

Skonfiguruj Intune — Portal firmy z informacjami kontaktowym dotyczącymi znakowania i pomocy technicznej w organizacji, aby ulepszyć środowisko użytkownika i zmniejszyć obciążenie związane z obsługą:

Usługa Endpoint Analytics jest włączona, aby ułatwić identyfikowanie zagrożeń na urządzeniach z systemem Windows

Jeśli analiza punktów końcowych nie jest włączona, podmioty zagrożeń mogą wykorzystać luki w kondycji, wydajności i kondycji zabezpieczeń urządzeń. Bez możliwości analizy punktu końcowego widoczności może być trudno w organizacji wykryć wskaźniki, takie jak nietypowe zachowanie urządzenia, opóźnione stosowanie poprawek lub dryf konfiguracji. Te luki umożliwiają osobom atakującym ustanawianie trwałości, eskalowanie uprawnień i przechodzenie w przyszłości po środowisku. Brak danych analitycznych może utrudniać szybkie wykrywanie i reagowanie, dzięki czemu osoby atakujące mogą wykorzystać niemonitorowane punkty końcowe do sterowania, eksfiltracji danych lub dalszego naruszenia zabezpieczeń.

Włączenie analizy punktów końcowych zapewnia wgląd w kondycję i zachowanie urządzeń, pomagając organizacjom wykrywać zagrożenia, szybko reagować na zagrożenia i utrzymywać silną Zero Trust postawę.

Akcja korygowania

Rejestrowanie urządzeń z systemem Windows w analizie punktów końcowych w Intune w celu monitorowania kondycji urządzeń i identyfikowania zagrożeń:

Więcej informacji można znaleźć w następujących artykułach:

Zawartość pokrewna

  • Last updated on