Krok 4. Konfigurowanie funkcji i ustawień urządzenia w celu zabezpieczania urządzeń i uzyskiwania dostępu do zasobów
Do tej pory skonfigurowano subskrypcję usługi Intune, utworzono zasady ochrony aplikacji i utworzono zasady zgodności urządzeń.
W tym kroku możesz skonfigurować minimalny lub bazowy zestaw funkcji zabezpieczeń i urządzeń, które muszą mieć wszystkie urządzenia.
Ten artykuł dotyczy:
- Android
- iOS/iPadOS
- macOS
- System Windows
Podczas tworzenia profilów konfiguracji urządzeń dostępne są różne poziomy i typy zasad. Te poziomy są minimalnymi zalecanymi zasadami firmy Microsoft. Wiedza o tym, że twoje środowisko i potrzeby biznesowe mogą być różne.
Poziom 1 — minimalna konfiguracja urządzenia: na tym poziomie firma Microsoft zaleca utworzenie zasad, które:
- Skoncentruj się na zabezpieczeniach urządzeń, w tym na instalowaniu oprogramowania antywirusowego, tworzeniu silnych zasad haseł i regularnym instalowaniu aktualizacji oprogramowania.
- Zapewnij użytkownikom dostęp do poczty e-mail organizacji i kontrolowany bezpieczny dostęp do sieci, gdziekolwiek się znajdują.
Poziom 2 — ulepszona konfiguracja urządzenia: na tym poziomie firma Microsoft zaleca utworzenie zasad, które:
- Rozwiń zakres zabezpieczeń urządzeń, w tym konfigurowanie szyfrowania dysków, włączanie bezpiecznego rozruchu i dodawanie kolejnych reguł haseł.
- Wbudowane funkcje i szablony umożliwiają skonfigurowanie większej liczby ustawień, które są ważne dla organizacji, w tym analizowanie lokalnych obiektów zasad grupy.
Poziom 3 — wysoka konfiguracja urządzenia: na tym poziomie firma Microsoft zaleca utworzenie zasad, które:
- Przejdź do uwierzytelniania bez hasła, w tym korzystania z certyfikatów, konfigurowania logowania jednokrotnego (SSO) do aplikacji, włączania uwierzytelniania wieloskładnikowego (MFA) i konfigurowania aplikacji Microsoft Tunnel.
- Dodawanie dodatkowych warstw zabezpieczeń przy użyciu trybu typowych kryteriów systemu Android lub tworzenie zasad DFCI dla urządzeń z systemem Windows.
- Wbudowane funkcje umożliwiają konfigurowanie urządzeń kiosku, dedykowanych urządzeń, urządzeń udostępnionych i innych wyspecjalizowanych urządzeń.
- Wdróż istniejące skrypty powłoki.
W tym artykule wymieniono różne poziomy zasad konfiguracji urządzeń, których powinny używać organizacje. Większość tych zasad w tym artykule koncentruje się na dostępie do zasobów i zabezpieczeń organizacji.
Te funkcje są konfigurowane w profilach konfiguracji urządzeń w centrum administracyjnym usługi Microsoft Intune. Gdy profile będą gotowe, można je wdrożyć z usługi Intune na urządzeniach.
Porada
Zapoznaj się z przewodnikiem po usłudze Intune i centrum administracyjnym usługi Microsoft Intune.
Poziom 1 — tworzenie punktu odniesienia zabezpieczeń
Aby zapewnić bezpieczeństwo danych i urządzeń organizacji, należy utworzyć różne zasady, które koncentrują się na zabezpieczeniach. Należy utworzyć listę funkcji zabezpieczeń, które muszą mieć wszyscy użytkownicy i/lub wszystkie urządzenia. Ta lista jest punktem odniesienia zabezpieczeń.
W punkcie odniesienia firma Microsoft zaleca co najmniej następujące zasady zabezpieczeń:
- Instalowanie oprogramowania antywirusowego (AV) i regularne skanowanie pod kątem złośliwego oprogramowania
- Używanie wykrywania i reagowania
- Włączanie zapory
- Regularne instalowanie aktualizacji oprogramowania
- Tworzenie silnych zasad numeru PIN/hasła
W tej sekcji wymieniono usługi Intune i Microsoft, których można użyć do tworzenia tych zasad zabezpieczeń.
Aby uzyskać bardziej szczegółową listę ustawień systemu Windows i ich zalecanych wartości, przejdź do pozycji Punkty odniesienia zabezpieczeń systemu Windows.
Oprogramowanie antywirusowe i skanowanie
✔️ Instalowanie oprogramowania antywirusowego i regularne skanowanie pod kątem złośliwego oprogramowania
Wszystkie urządzenia powinny mieć zainstalowane oprogramowanie antywirusowe i być regularnie skanowane pod kątem złośliwego oprogramowania. Usługa Intune integruje się z usługami ochrony przed zagrożeniami mobilnymi (MTD) innych partnerów, które zapewniają skanowanie av i zagrożeń. W przypadku systemów macOS i Windows oprogramowanie antywirusowe i skanowanie są wbudowane w usługę Intune za pomocą usługi Microsoft Defender for Endpoint.
Opcje zasad:
| Platforma | Typ zasad |
|---|---|
| Android Enterprise | - Partner w zakresie ochrony przed zagrożeniami mobilnymi — usługa Microsoft Defender dla punktu końcowego dla systemu Android może skanować pod kątem złośliwego oprogramowania |
| iOS/iPadOS | Partner w zakresie ochrony przed zagrożeniami mobilnymi |
| macOS | Profil antywirusowy intune Endpoint Security (Microsoft Defender for Endpoint) |
| Klient systemu Windows | — Punkty odniesienia zabezpieczeń usługi Intune (zalecane) — profil antywirusowy intune Endpoint Security (Microsoft Defender for Endpoint) — partner w zakresie ochrony przed zagrożeniami mobilnymi |
Aby uzyskać więcej informacji na temat tych funkcji, przejdź do:
- Android Enterprise:
- Integracja usługi iOS/iPadOSMobile Threat Defense
- Zasady ochrony antywirusowejsystemu macOS
- Windows:
Wykrywanie i reagowanie
✔️ Wykrywanie ataków i reagowanie na te zagrożenia
Szybkie wykrywanie zagrożeń pozwala zminimalizować wpływ zagrożenia. Po połączeniu tych zasad z dostępem warunkowym można zablokować użytkownikom i urządzeniom dostęp do zasobów organizacji w przypadku wykrycia zagrożenia.
Opcje zasad:
| Platforma | Typ zasad |
|---|---|
| Android Enterprise | — Partner w zakresie ochrony przed zagrożeniami mobilnymi — Microsoft Defender for Endpoint w systemie Android |
| iOS/iPadOS | — Partner w zakresie ochrony przed zagrożeniami mobilnymi — Usługa Microsoft Defender dla punktu końcowego w systemie iOS/iPadOS |
| macOS | Niedostępny |
| Klient systemu Windows | — Punkty odniesienia zabezpieczeń usługi Intune (zalecane) — profil wykrywania i reagowania punktów końcowych usługi Intune (Microsoft Defender dla punktu końcowego) — partner w zakresie ochrony przed zagrożeniami mobilnymi |
Aby uzyskać więcej informacji na temat tych funkcji, przejdź do:
- Android Enterprise:
- iOS/iPadOS:
- Windows:
Zapora
✔️ Włączanie zapory na wszystkich urządzeniach
Niektóre platformy są wyposażone w wbudowaną zaporę, a na innych może być konieczne zainstalowanie zapory oddzielnie. Usługa Intune integruje się z usługami mtd (mobile threat defense) innych partnerów, które mogą zarządzać zaporą dla urządzeń z systemem Android i iOS/iPadOS. W przypadku systemów macOS i Windows zabezpieczenia zapory są wbudowane w usługę Intune przy użyciu usługi Microsoft Defender for Endpoint.
Opcje zasad:
| Platforma | Typ zasad |
|---|---|
| Android Enterprise | Partner w zakresie ochrony przed zagrożeniami mobilnymi |
| iOS/iPadOS | Partner w zakresie ochrony przed zagrożeniami mobilnymi |
| macOS | Profil zapory zabezpieczeń punktu końcowego usługi Intune (Microsoft Defender dla punktu końcowego) |
| Klient systemu Windows | — Punkty odniesienia zabezpieczeń usługi Intune (zalecane) — profil zapory punktu końcowego usługi Intune (Microsoft Defender dla punktu końcowego) — partner w zakresie ochrony przed zagrożeniami mobilnymi |
Aby uzyskać więcej informacji na temat tych funkcji, przejdź do:
- Integracja usługi Android EnterpriseMobile z ochroną przed zagrożeniami
- Integracja usługi iOS/iPadOSMobile Threat Defense
- Zasady zapory systemumacOS
- Windows:
Zasady haseł
✔️ Tworzenie silnych zasad haseł/numeru PIN i blokowanie prostych kodów dostępu
Numery PIN odblokowywania urządzeń. Na urządzeniach uzyskujących dostęp do danych organizacji, w tym na urządzeniach należących do użytkownika, należy wymagać silnych numerów PIN/kodów dostępu i obsługi danych biometrycznych w celu odblokowania urządzeń. Korzystanie z biometrii jest częścią podejścia bez hasła, które jest zalecane.
Usługa Intune używa profilów ograniczeń urządzeń do tworzenia i konfigurowania wymagań dotyczących haseł.
Opcje zasad:
| Platforma | Typ zasad |
|---|---|
| Android Enterprise | Profil ograniczeń urządzeń usługi Intune do zarządzania: — Hasło urządzenia — Hasło profilu służbowego |
| AOSP | Profil ograniczeń urządzenia usługi Intune |
| iOS/iPadOS | Profil ograniczeń urządzenia usługi Intune |
| macOS | Profil ograniczeń urządzenia usługi Intune |
| Klient systemu Windows | — Punkty odniesienia zabezpieczeń usługi Intune (zalecane) — profil ograniczeń urządzeń usługi Intune |
Aby uzyskać listę ustawień, które można skonfigurować, przejdź do:
- Profil ograniczeń urządzeń z systemem Android Enterprise:
- Profil > ograniczeń urządzeniaz systemem Android AOSP Hasło urządzenia
- Profil> ograniczeń urządzeń z systemem iOS/iPadOS Hasło
- Profil> ograniczeń urządzeń z systememmacOS Hasło
- Windows:
Aktualizacje oprogramowania
✔️ Regularne instalowanie aktualizacji oprogramowania
Wszystkie urządzenia powinny być regularnie aktualizowane i należy tworzyć zasady, aby upewnić się, że te aktualizacje zostały pomyślnie zainstalowane. W przypadku większości platform usługa Intune ma dedykowane zasady, które koncentrują się na zarządzaniu aktualizacjami i instalowaniu ich.
Opcje zasad:
| Platforma | Typ zasad |
|---|---|
| Urządzenia należące do organizacji z systemem Android Enterprise | Ustawienia aktualizacji systemu przy użyciu profilu ograniczeń urządzenia usługi Intune |
| Urządzenia osobiste z systemem Android Enterprise | Niedostępny Można użyć zasad zgodności, aby ustawić minimalny poziom poprawek, minimalną/maksymalną wersję systemu operacyjnego i nie tylko. |
| iOS/iPadOS | Zasady aktualizacji usługi Intune |
| macOS | Zasady aktualizacji usługi Intune |
| Klient systemu Windows | — Zasady aktualizacji funkcji usługi Intune — zasady przyspieszonych aktualizacji usługi Intune |
Aby uzyskać więcej informacji na temat tych funkcji i/lub ustawień, które można skonfigurować, przejdź do:
- Profilograniczeń urządzenia z systemem Android Enterprise — aktualizacja >systemu
- Zasady aktualizacji oprogramowania systemu iOS/iPadOS
- Zasady aktualizacji oprogramowania systemumacOS
- Windows:
Poziom 1 — uzyskiwanie dostępu do poczty e-mail organizacji, nawiązywanie połączenia z siecią VPN lub Wi-Fi
Ta sekcja koncentruje się na uzyskiwaniu dostępu do zasobów w organizacji. Te zasoby obejmują:
- Poczta e-mail dla kont służbowych
- Połączenie sieci VPN na potrzeby łączności zdalnej
- Wi-Fi połączenia dla łączności lokalnej
Poczta e-mail
Wiele organizacji wdraża profile poczty e-mail ze wstępnie skonfigurowanymi ustawieniami na urządzeniach użytkowników.
✔️ Automatyczne nawiązywanie połączenia z kontami e-mail użytkowników
Profil zawiera ustawienia konfiguracji poczty e-mail, które łączą się z serwerem poczty e-mail.
W zależności od skonfigurowanych ustawień profil poczty e-mail może również automatycznie łączyć użytkowników z ich ustawieniami poszczególnych kont e-mail.
✔️ Korzystanie z aplikacji poczty e-mail na poziomie przedsiębiorstwa
Profile poczty e-mail w usłudze Intune używają typowych i popularnych aplikacji poczty e-mail, takich jak Outlook. Aplikacja poczty e-mail jest wdrażana na urządzeniach użytkowników. Po jego wdrożeniu wdrażasz profil konfiguracji urządzenia poczty e-mail z ustawieniami, które konfigurują aplikację poczty e-mail.
Profil konfiguracji urządzenia poczty e-mail zawiera ustawienia łączące się z programem Exchange.
✔️ Uzyskiwanie dostępu do służbowych wiadomości e-mail
Tworzenie profilu poczty e-mail to typowe minimalne zasady punktu odniesienia dla organizacji z użytkownikami korzystającymi z poczty e-mail na swoich urządzeniach.
Usługa Intune ma wbudowane ustawienia poczty e-mail dla urządzeń klienckich z systemem Android, iOS/iPadOS i Windows. Gdy użytkownicy otwierają swoją aplikację poczty e-mail, mogą automatycznie łączyć się, uwierzytelniać i synchronizować konta e-mail organizacji na swoich urządzeniach.
✔️ Wdrażanie w dowolnym momencie
Na nowych urządzeniach zaleca się wdrożenie aplikacji poczty e-mail podczas procesu rejestracji. Po zakończeniu rejestracji wdróż zasady konfiguracji urządzenia poczty e-mail.
Jeśli masz istniejące urządzenia, wdróż aplikację poczty e-mail w dowolnym momencie i wdróż zasady konfiguracji urządzeń poczty e-mail.
Wprowadzenie do profilów poczty e-mail
Aby rozpocząć:
Wdrażanie aplikacji poczty e-mail na urządzeniach. Aby uzyskać wskazówki, przejdź do tematu Dodawanie ustawień poczty e-mail do urządzeń przy użyciu usługi Intune.
Utwórz profil konfiguracji urządzenia poczty e-mail w usłudze Intune. W zależności od aplikacji poczty e-mail używanej przez organizację profil konfiguracji urządzenia poczty e-mail może nie być potrzebny.
Aby uzyskać wskazówki, przejdź do tematu Dodawanie ustawień poczty e-mail do urządzeń przy użyciu usługi Intune.
W profilu konfiguracji urządzenia poczty e-mail skonfiguruj ustawienia dla platformy:
Urządzenia osobiste z systemem Android Enterprise z ustawieniami poczty e-mail profilu służbowego
Urządzenia należące do organizacji z systemem Android Enterprise nie używają profilów konfiguracji urządzeń poczty e-mail.
Przypisz profil konfiguracji urządzenia poczty e-mail do użytkowników lub grup użytkowników.
Sieć VPN
Wiele organizacji wdraża profile sieci VPN ze wstępnie skonfigurowanymi ustawieniami na urządzeniach użytkowników. Sieć VPN łączy urządzenia z wewnętrzną siecią organizacji.
Jeśli Twoja organizacja korzysta z usług w chmurze z nowoczesnym uwierzytelnianiem i bezpiecznymi tożsamościami, prawdopodobnie nie potrzebujesz profilu sieci VPN. Usługi natywne dla chmury nie wymagają połączenia sieci VPN.
Jeśli aplikacje lub usługi nie są oparte na chmurze lub nie są natywne dla chmury, zaleca się wdrożenie profilu sieci VPN w celu nawiązania połączenia z wewnętrzną siecią organizacji.
✔️ Praca z dowolnego miejsca
Tworzenie profilu sieci VPN to typowe zasady minimalnej linii bazowej dla organizacji z pracownikami zdalnymi i hybrydowymi pracownikami.
Ponieważ użytkownicy pracują z dowolnego miejsca, mogą korzystać z profilu sieci VPN, aby bezpiecznie łączyć się z siecią organizacji w celu uzyskania dostępu do zasobów.
Usługa Intune ma wbudowane ustawienia sieci VPN dla urządzeń klienckich z systemami Android, iOS/iPadOS, macOS i Windows. Na urządzeniach użytkowników połączenie sieci VPN jest wyświetlane jako dostępne połączenie. Użytkownicy ją wybierają. W zależności od ustawień profilu sieci VPN użytkownicy mogą automatycznie uwierzytelniać się i łączyć się z siecią VPN na swoich urządzeniach.
✔️ Korzystanie z aplikacji sieci VPN na poziomie przedsiębiorstwa
Profile sieci VPN w usłudze Intune korzystają z typowych aplikacji sieci VPN dla przedsiębiorstw, takich jak Check Point, Cisco, Microsoft Tunnel i inne. Aplikacja sieci VPN jest wdrażana na urządzeniach użytkowników. Po wdrożeniu aplikacji wdrożysz profil połączenia sieci VPN z ustawieniami, które konfigurują aplikację sieci VPN.
Profil konfiguracji urządzenia sieci VPN zawiera ustawienia łączące się z serwerem sieci VPN.
✔️ Wdrażanie w dowolnym momencie
Na nowych urządzeniach zaleca się wdrożenie aplikacji sieci VPN podczas procesu rejestracji. Po zakończeniu rejestracji wdróż zasady konfiguracji urządzenia sieci VPN.
Jeśli masz istniejące urządzenia, wdróż aplikację sieci VPN w dowolnym momencie, a następnie wdróż zasady konfiguracji urządzeń sieci VPN.
Wprowadzenie do profilów sieci VPN
Aby rozpocząć:
Wdrażanie aplikacji sieci VPN na urządzeniach.
- Aby uzyskać listę obsługiwanych aplikacji sieci VPN, przejdź do pozycji Obsługiwane aplikacje połączeń sieci VPN w usłudze Intune.
- Aby uzyskać instrukcje dodawania aplikacji do usługi Intune, przejdź do sekcji Dodawanie aplikacji do usługi Microsoft Intune.
W profilu konfiguracji urządzenia sieci VPN skonfiguruj ustawienia dla platformy:
Przypisz profil konfiguracji urządzenia sieci VPN do użytkowników lub grup użytkowników.
Wi-Fi
Wiele organizacji wdraża profile Wi-Fi ze wstępnie skonfigurowanymi ustawieniami na urządzeniach użytkowników. Jeśli Twoja organizacja ma pracowników tylko zdalnych, nie musisz wdrażać Wi-Fi profilów połączeń. Wi-Fi profile są opcjonalne i są używane do łączności lokalnej.
✔️ Łączenie bezprzewodowe
Ponieważ użytkownicy pracują z różnych urządzeń przenośnych, mogą korzystać z profilu Wi-Fi, aby bezprzewodowo i bezpiecznie łączyć się z siecią organizacji.
Profil zawiera ustawienia konfiguracji Wi-Fi, które automatycznie łączą się z siecią i/lub identyfikatorem SSID (identyfikator zestawu usług). Użytkownicy nie muszą ręcznie konfigurować ustawień Wi-Fi.
✔️ Obsługa lokalnych urządzeń przenośnych
Tworzenie profilu Wi-Fi to typowe minimalne zasady punktu odniesienia dla organizacji z urządzeniami przenośnymi, które działają lokalnie.
Usługa Intune ma wbudowane ustawienia Wi-Fi dla urządzeń klienckich z systemami Android, iOS/iPadOS, macOS i Windows. Na urządzeniach użytkowników połączenie Wi-Fi jest wyświetlane jako dostępne połączenie. Użytkownicy ją wybierają. W zależności od ustawień profilu Wi-Fi użytkownicy mogą automatycznie uwierzytelniać się i łączyć się z Wi-Fi na swoich urządzeniach.
✔️ Wdrażanie w dowolnym momencie
Na nowych urządzeniach zaleca się wdrożenie zasad konfiguracji urządzenia Wi-Fi podczas rejestrowania urządzeń w usłudze Intune.
Jeśli masz istniejące urządzenia, możesz wdrożyć zasady konfiguracji Wi-Fi urządzenia w dowolnym momencie.
Wprowadzenie do profilów Wi-Fi
Aby rozpocząć:
Utwórz profil konfiguracji urządzenia Wi-Fi w usłudze Intune.
Skonfiguruj ustawienia dla platformy:
Przypisz profil konfiguracji urządzenia Wi-Fi do użytkowników lub grup użytkowników.
Poziom 2 — rozszerzona ochrona i konfiguracja
Ten poziom rozszerza elementy skonfigurowane na poziomie 1 i zwiększa bezpieczeństwo urządzeń. W tej sekcji utworzysz zestaw zasad poziomu 2, które konfigurują więcej ustawień zabezpieczeń dla urządzeń.
Firma Microsoft zaleca następujące zasady zabezpieczeń poziomu 2:
Włącz szyfrowanie dysków, bezpieczny rozruch i moduł TPM na urządzeniach. Te funkcje w połączeniu z silnymi zasadami numeru PIN lub odblokowywaniem biometrycznym są zalecane na tym poziomie.
Na urządzeniach z systemem Android szyfrowanie dysków i rozwiązanie Samsung Knox mogą być wbudowane w system operacyjny. Szyfrowanie dysku może być automatycznie włączone podczas konfigurowania ustawień ekranu blokady. W usłudze Intune można utworzyć zasady ograniczeń urządzenia, które konfigurują ustawienia ekranu blokady.
Aby uzyskać listę ustawień hasła i ekranu blokady, które można skonfigurować, przejdź do następujących artykułów:
Wygasanie haseł i regulowanie ponownego używania starych haseł. Na poziomie 1 utworzono silne zasady numeru PIN lub hasła. Jeśli jeszcze tego nie zrobiono, skonfiguruj numery PIN & haseł w celu wygaśnięcia i ustaw niektóre reguły ponownego użycia hasła.
Usługa Intune umożliwia utworzenie zasad ograniczeń urządzenia lub zasad wykazu ustawień , które konfigurują te ustawienia. Aby uzyskać więcej informacji na temat ustawień hasła, które można skonfigurować, przejdź do następujących artykułów:
Na urządzeniach z systemem Android możesz użyć zasad ograniczeń urządzeń, aby ustawić reguły haseł:
Usługa Intune zawiera setki ustawień, które mogą zarządzać funkcjami i ustawieniami urządzeń , takimi jak wyłączanie wbudowanej kamery, kontrolowanie powiadomień, zezwalanie na bluetooth, blokowanie gier i nie tylko.
Aby wyświetlić i skonfigurować ustawienia, możesz użyć wbudowanych szablonów lub wykazu ustawień .
Szablony ograniczeń urządzeń mają wiele wbudowanych ustawień, które mogą kontrolować różne części urządzeń, w tym zabezpieczenia, sprzęt, udostępnianie danych i nie tylko.
Możesz użyć tych szablonów na następujących platformach:
- Android
- iOS/iPadOS
- macOS
- System Windows
Użyj wykazu ustawień, aby wyświetlić i skonfigurować wszystkie dostępne ustawienia. Wykaz ustawień można użyć na następujących platformach:
- iOS/iPadOS
- macOS
- System Windows
Użyj wbudowanych szablonów administracyjnych, podobnie jak w przypadku konfigurowania lokalnych szablonów ADMX. Szablonów ADMX można używać na następującej platformie:
- System Windows
Jeśli używasz lokalnych obiektów zasad grupy i chcesz wiedzieć, czy te same ustawienia są dostępne w usłudze Intune, użyj analizy zasad grupy. Ta funkcja analizuje obiekty zasad grupy i w zależności od analizy może je zaimportować do zasad wykazu ustawień usługi Intune.
Aby uzyskać więcej informacji, przejdź do tematu Analizowanie lokalnych obiektów zasad grupy i importowanie ich w usłudze Intune.
Poziom 3 — wysoka ochrona i konfiguracja
Ten poziom rozwija się w oparciu o elementy skonfigurowane na poziomach 1 i 2. Dodaje dodatkowe funkcje zabezpieczeń używane w organizacjach na poziomie przedsiębiorstwa.
Rozwiń uwierzytelnianie bez hasła do innych usług używanych przez pracowników. Na poziomie 1 włączono dane biometryczne, dzięki czemu użytkownicy mogą logować się do swoich urządzeń za pomocą odcisku palca lub rozpoznawania twarzy. Na tym poziomie rozwiń węzeł bez hasła do innych części organizacji.
Użyj certyfikatów do uwierzytelniania połączeń poczty e-mail, sieci VPN i Wi-Fi. Certyfikaty są wdrażane dla użytkowników i urządzeń, a następnie używane przez użytkowników do uzyskiwania dostępu do zasobów w organizacji za pośrednictwem tych połączeń poczty e-mail, sieci VPN i Wi-Fi.
Aby dowiedzieć się więcej na temat korzystania z certyfikatów w usłudze Intune, przejdź do:
Skonfiguruj logowanie jednokrotne (SSO) w celu bezproblemowiejszej obsługi podczas otwierania aplikacji biznesowych przez użytkowników, takich jak aplikacje platformy Microsoft 365. Użytkownicy logują się raz, a następnie automatycznie logują się do wszystkich aplikacji, które obsługują konfigurację logowania jednokrotnego.
Aby dowiedzieć się więcej na temat korzystania z logowania jednokrotnego w usłudze Intune i identyfikatorze Microsoft Entra, przejdź do:
- Android: włączanie logowania jednokrotnego między aplikacjami w systemie Android przy użyciu biblioteki MSAL w identyfikatorze Microsoft Entra
- iOS/iPadOS, macOS: użyj wtyczki Enterprise SSO w usłudze Intune i innych urządzeniach MDM
- Windows: Konfigurowanie logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra
Użyj uwierzytelniania wieloskładnikowego (MFA). Po przejściu na bez hasła uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę zabezpieczeń i może pomóc chronić organizację przed atakami wyłudzania informacji. Uwierzytelniania wieloskładnikowego można używać z aplikacjami uwierzytelniania, takimi jak Microsoft Authenticator, lub z połączeniem telefonicznym lub wiadomością SMS. Uwierzytelniania wieloskładnikowego można również używać, gdy użytkownicy rejestrują swoje urządzenia w usłudze Intune.
Uwierzytelnianie wieloskładnikowe jest funkcją identyfikatora Entra firmy Microsoft i może być używane z kontami Microsoft Entra. Aby uzyskać więcej informacji, zobacz:
Skonfiguruj aplikację Microsoft Tunnel dla urządzeń z systemem Android i iOS/iPadOS. Program Microsoft Tunnel używa systemu Linux do zezwalania tym urządzeniom na dostęp do zasobów lokalnych przy użyciu nowoczesnego uwierzytelniania i dostępu warunkowego.
Usługa Microsoft Tunnel używa usług Intune, Microsoft Entra ID i Active Directory Federation Services (AD FS). Aby uzyskać więcej informacji, przejdź do witryny Microsoft Tunnel for Microsoft Intune.
Oprócz rozwiązania Microsoft Tunnel dla urządzeń zarejestrowanych w usłudze Intune można użyć rozwiązania Microsoft Tunnel for Mobile Application Management (Tunnel for MAM), aby rozszerzyć możliwości tunelowania na urządzenia z systemem Android i iOS/iPad, które nie są zarejestrowane w usłudze Intune. Aplikacja Tunnel for MAM jest dostępna jako dodatek usługi Intune, który wymaga dodatkowej licencji.
Aby uzyskać więcej informacji, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune Suite).
Zasady laps (Local Administrator Password Solution) systemu Windows umożliwiają zarządzanie wbudowanym kontem administratora lokalnego na urządzeniach z systemem Windows i tworzenie ich kopii zapasowych. Ponieważ nie można usunąć konta administratora lokalnego i ma pełne uprawnienia do urządzenia, zarządzanie wbudowanym kontem administratora systemu Windows jest ważnym krokiem w zabezpieczaniu organizacji. Zasady usługi Intune dla systemu Windows LAPS korzystają z możliwości dostępnych dla urządzeń z systemem Windows z systemem Windows w wersji 21h2 lub nowszej.
Aby uzyskać więcej informacji, zobacz Obsługa usługi Intune dla systemu Windows LAPS.
Użyj usługi Microsoft Intune Endpoint Privilege Management (EPM), aby zmniejszyć obszar ataków urządzeń z systemem Windows. Program EPM umożliwia użytkownikom korzystającym ze standardowych użytkowników (bez uprawnień administratora) utrzymanie produktywności dzięki określeniu, kiedy użytkownicy mogą uruchamiać aplikacje w kontekście z podwyższonym poziomem uprawnień.
Reguły podniesienia uprawnień EPM mogą być oparte na skrótach plików, regułach certyfikatów i nie tylko. Skonfigurowane reguły pomagają zagwarantować, że tylko oczekiwane i zaufane aplikacje, na które zezwalasz, mogą działać z podwyższonym poziomem uprawnień. Reguły mogą zarządzać procesami podrzędnymi tworzonymi przez aplikację, obsługiwać żądania użytkowników w celu podniesienia poziomu zarządzanego procesu i zezwalać na automatyczne podniesienie uprawnień plików, które po prostu muszą być uruchamiane bez żadnych przerw w działaniu użytkownika.
Usługa Endpoint Privilege Management jest dostępna jako dodatek usługi Intune, który wymaga dodatkowej licencji. Aby uzyskać więcej informacji, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune Suite).
Użyj trybu Wspólnych kryteriów systemu Android na urządzeniach z systemem Android, które są używane przez wysoce wrażliwe organizacje, takie jak instytucje rządowe.
Aby uzyskać więcej informacji na temat tej funkcji, przejdź do trybu wspólnych kryteriów systemu Android.
Utwórz zasady , które mają zastosowanie do warstwy oprogramowania układowego systemu Windows. Te zasady mogą pomóc w zapobieganiu komunikacji złośliwego oprogramowania z procesami systemu operacyjnego Windows.
Aby uzyskać więcej informacji na temat tej funkcji, przejdź do tematu Korzystanie z profilów interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI) na urządzeniach z systemem Windows.
Konfigurowanie kiosków, urządzeń udostępnionych i innych wyspecjalizowanych urządzeń:
Android Enterprise:
Administrator urządzenia z systemem Android
- Korzystanie z urządzeń Zebra i zarządzanie nimi za pomocą rozszerzeń zebra mobility
- Ustawienia urządzenia do uruchamiania jako kiosk
Ważna
Usługa Microsoft Intune kończy obsługę zarządzania urządzeniami z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.
Wdrażanie skryptów powłoki:
Postępuj zgodnie z minimalnymi zalecanymi zasadami punktu odniesienia
- Konfigurowanie usługi Microsoft Intune
- Dodawanie, konfigurowanie i ochrona aplikacji
- Planowanie zasad zgodności
- 🡺 Konfigurowanie funkcji urządzenia (jesteś tutaj)
- Rejestrowanie urządzeń
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla