Poziomy ochrony i konfiguracji w Microsoft Intune

  • Artykuł

Microsoft Intune zapewnia administratorom możliwość tworzenia zasad stosowanych do użytkowników, urządzeń i aplikacji. Te zasady mogą się wahać od minimalnego zestawu do bardziej bezpiecznych lub kontrolowanych zasad. Te zasady zależą od potrzeb organizacji, używanych urządzeń i tego, co będą robić urządzenia.

Gdy wszystko będzie gotowe do utworzenia zasad, możesz użyć różnych poziomów ochrony i konfiguracji:

Twoje środowisko i potrzeby biznesowe mogą mieć zdefiniowane różne poziomy. Możesz użyć tych poziomów jako punktu początkowego, a następnie dostosować je do swoich potrzeb. Można na przykład użyć zasad konfiguracji urządzenia na poziomie 1, a zasad aplikacji na poziomie 3.

Wybierz poziomy odpowiednie dla Twojej organizacji. Nie ma złego wyboru.

Poziom 1 — minimalna ochrona i konfiguracja

Ten poziom obejmuje zasady, które każda organizacja powinna mieć co najmniej. Zasady na tym poziomie tworzą minimalny punkt odniesienia funkcji zabezpieczeń i zapewniają użytkownikom dostęp do zasobów potrzebnych do wykonywania zadań.

Aplikacje (poziom 1)

Ten poziom wymusza rozsądną ilość wymagań dotyczących ochrony danych i dostępu przy jednoczesnym zminimalizowaniu wpływu na użytkowników. Ten poziom zapewnia ochronę aplikacji przy użyciu numeru PIN i szyfrowania oraz wykonuje selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Ten poziom to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach Exchange Online skrzynki pocztowej. Wprowadza ona również środowisko IT i populację użytkowników do zasad ochrony aplikacji.

Na tym poziomie firma Microsoft zaleca skonfigurowanie następującej ochrony i dostępu dla aplikacji:

  • Włącz podstawowe wymagania dotyczące ochrony danych:

    • Zezwalaj na podstawowy transfer danych aplikacji
    • Wymuszanie podstawowego szyfrowania aplikacji
    • Zezwalaj na podstawowe funkcje dostępu

  • Włącz podstawowe wymagania dotyczące dostępu:

    • Wymaganie numeru PIN, identyfikatora twarzy i dostępu biometrycznego
    • Wymuszanie obsługi podstawowych ustawień dostępu

  • Włącz podstawowe uruchamianie aplikacji warunkowych:

    • Konfigurowanie podstawowych prób dostępu do aplikacji
    • Blokuj dostęp do aplikacji na podstawie urządzeń ze zdjętymi zabezpieczeniami systemu lub urządzeniami z dostępem do konta root
    • Ograniczanie dostępu do aplikacji na podstawie podstawowej integralności urządzeń

Aby uzyskać więcej informacji, zobacz Poziom 1 — podstawowa ochrona aplikacji.

Zgodność (poziom 1)

Na tym poziomie zgodność urządzeń obejmuje konfigurowanie ustawień dla całej dzierżawy, które mają zastosowanie do wszystkich urządzeń, oraz wdrażanie minimalnych zasad zgodności na wszystkich urządzeniach w celu wymuszenia podstawowego zestawu wymagań dotyczących zgodności. Firma Microsoft zaleca, aby te konfiguracje były dostępne przed zezwoleniem urządzeniom na dostęp do zasobów organizacji. Zgodność urządzeń na poziomie 1 obejmuje:

Ustawienia zasad zgodności to kilka ustawień dotyczących całej dzierżawy, które wpływają na sposób działania usługi zgodności usługi Intune z urządzeniami.

Zasady zgodności specyficzne dla platformy obejmują ustawienia typowych motywów na różnych platformach. Rzeczywista nazwa i implementacja ustawienia mogą się różnić między różnymi platformami:

  • Wymagaj oprogramowania antywirusowego, ochrony przed złośliwym kodem i oprogramowania chroniącego przed złośliwym kodem (tylko system Windows)
  • Wersja systemu operacyjnego:
    • Maksymalna liczba systemów operacyjnych
    • Minimalny system operacyjny
    • Wersje pomocnicze i główne kompilacji
    • Poziomy poprawek systemu operacyjnego
  • Konfiguracje haseł
    • Wymuszanie ekranu blokady po okresie braku aktywności, co wymaga hasła lub przypięcia do odblokowania
    • Wymagaj złożonych haseł z kombinacjami liter, cyfr i symboli
    • Wymagaj hasła lub numeru PIN do odblokowywania urządzeń
    • Wymagaj minimalnej długości hasła

Akcje dotyczące niezgodności są automatycznie dołączane do poszczególnych zasad specyficznych dla platformy. Te akcje to co najmniej jedna skonfigurowana akcja uporządkowana w czasie, która ma zastosowanie do urządzeń, które nie spełniają wymagań dotyczących zgodności zasad. Domyślnie oznaczanie urządzenia jako niezgodnego jest natychmiastową akcją uwzględnioną w poszczególnych zasadach.

Aby uzyskać więcej informacji, zobacz Poziom 1 — minimalna zgodność urządzeń.

Konfiguracja urządzenia (poziom 1)

Na tym poziomie profile obejmują ustawienia, które koncentrują się na zabezpieczeniach i dostępie do zasobów. W szczególności na tym poziomie firma Microsoft zaleca skonfigurowanie następujących funkcji:

  • Włącz podstawowe zabezpieczenia, w tym:

    • Oprogramowanie antywirusowe i skanowanie
    • Wykrywanie zagrożeń i reagowanie na nie
    • Zapory
    • Aktualizacje oprogramowania
    • Silne zasady numeru PIN i hasła

  • Przyznaj użytkownikom dostęp do sieci:

    • Poczta e-mail
    • Sieć VPN na potrzeby dostępu zdalnego
    • Wi-Fi dostępu lokalnego

Aby uzyskać więcej informacji na temat tych zasad na tym poziomie, przejdź do kroku 4 — tworzenie profilów konfiguracji urządzeń w celu zabezpieczania urządzeń i tworzenia połączeń z zasobami organizacji.

Poziom 2 — rozszerzona ochrona i konfiguracja

Ten poziom rozszerza minimalny zestaw zasad w celu uwzględnienia większej liczby zabezpieczeń i rozszerzenia zarządzania urządzeniami przenośnymi. Zasady na tym poziomie zabezpieczają więcej funkcji, zapewniają ochronę tożsamości i zarządzają większą ilością ustawień urządzenia.

Użyj ustawień na tym poziomie, aby dodać to, co zostało zrobione na poziomie 1.

Aplikacje (poziom 2)

Ten poziom zaleca standardowy poziom ochrony aplikacji dla urządzeń, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Ten poziom wprowadza mechanizmy zapobiegania wyciekom danych zasad ochrony aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Ten poziom to konfiguracja, która ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych.

Oprócz ustawień poziomu 1 firma Microsoft zaleca skonfigurowanie następującej ochrony i dostępu dla aplikacji:

  • Włącz rozszerzone wymagania dotyczące ochrony danych:

    • Transferowanie danych związanych z organizacją
    • Wykluczanie wybranych aplikacji — wymagania dotyczące transferu danych (iOS/iPadOS)
    • Transfer danych telekomunikacyjnych
    • Ograniczanie wycinania, kopiowania i wklejania między aplikacjami
    • Blokowanie przechwytywania ekranu (Android)

  • Włącz rozszerzone uruchamianie aplikacji warunkowych:

    • Blokuj wyłączanie kont aplikacji
    • Wymuszanie minimalnych wymagań dotyczących systemu operacyjnego urządzenia
    • Wymagaj minimalnej wersji poprawki (Android)
    • Wymagaj typu oceny werdyktu integralności odtwarzania (Android)
    • Wymagaj blokady urządzenia (Android)
    • Zezwalaj na dostęp do aplikacji w oparciu o zwiększoną integralność urządzenia

Aby uzyskać więcej informacji, zobacz Poziom 2 — rozszerzona ochrona aplikacji.

Zgodność (poziom 2)

Na tym poziomie firma Microsoft zaleca dodanie bardziej złożonych opcji do zasad zgodności. Wiele ustawień na tym poziomie ma nazwy specyficzne dla platformy, które zapewniają podobne wyniki. Poniżej przedstawiono kategorie lub typy ustawień zalecane przez firmę Microsoft, gdy są dostępne:

  • Aplikacji:

    • Zarządzanie miejscem pobierania aplikacji przez urządzenia, takie jak Google Play dla systemu Android
    • Zezwalaj na aplikacje z określonych lokalizacji
    • Blokowanie aplikacji z nieznanych źródeł

  • Ustawienia zapory

    • Ustawienia zapory (macOS, Windows)

  • Szyfrowania:

    • Wymagaj szyfrowania magazynu danych
    • Funkcja BitLocker (Windows)
    • FileVault (macOS)

  • Hasła

    • Wygaśnięcie hasła i ponowne użycie

  • Ochrona plików i rozruchu na poziomie systemu:

    • Blokuj debugowanie USB (Android)
    • Blokuj urządzenia z odblokowanym dostępem lub zdjętymi zabezpieczeniami systemu (Android, iOS)
    • Wymagaj ochrony integralności systemu (macOS)
    • Wymagaj integralności kodu (Windows)
    • Wymagaj włączenia bezpiecznego rozruchu (Windows)
    • Moduł zaufanej platformy (Windows)

Aby uzyskać więcej informacji, zobacz Poziom 2 — rozszerzone ustawienia zgodności urządzeń.

Konfiguracja urządzenia (poziom 2)

Na tym poziomie rozwijasz ustawienia i funkcje skonfigurowane na poziomie 1. Firma Microsoft zaleca utworzenie zasad, które:

  • Dodaj kolejną warstwę zabezpieczeń, włączając szyfrowanie dysków, bezpieczny rozruch i moduł TPM na urządzeniach.
  • Skonfiguruj numery PIN & haseł w celu wygaśnięcia haseł i zarządzania nimi, jeśli/kiedy można ponownie używać haseł.
  • Skonfiguruj bardziej szczegółowe funkcje, ustawienia i zachowania urządzeń.
  • Jeśli masz lokalne obiekty zasad grupy, możesz określić, czy te obiekty zasad grupy są dostępne w usłudze Intune.

Aby uzyskać bardziej szczegółowe informacje na temat zasad konfiguracji urządzeń na tym poziomie, przejdź do poziomu 2 — rozszerzona ochrona i konfiguracja.

Poziom 3 — wysoka ochrona i konfiguracja

Ten poziom obejmuje zasady na poziomie przedsiębiorstwa i może obejmować różnych administratorów w organizacji. Te zasady nadal przechodzą do uwierzytelniania bez hasła, mają większe zabezpieczenia i konfigurują wyspecjalizowane urządzenia.

Użyj ustawień na tym poziomie, aby dodać to, co zostało zrobione na poziomach 1 i 2.

Aplikacje (poziom 3)

Ten poziom zaleca standardowy poziom ochrony aplikacji dla urządzeń, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Ten poziom wprowadza zaawansowane mechanizmy ochrony danych, ulepszoną konfigurację numeru PIN i zasady ochrony aplikacji Mobile Threat Defense. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.

Oprócz ustawień poziomu 1 i 2 firma Microsoft zaleca skonfigurowanie następującej ochrony i dostępu dla aplikacji:

  • Włącz wysokie wymagania dotyczące ochrony danych:

    • Wysoka ochrona podczas przesyłania danych telekomunikacyjnych
    • Odbieranie danych tylko z aplikacji zarządzanych przez zasady
    • Blokuj otwieranie danych w dokumentach organizacji
    • Zezwalaj użytkownikom na otwieranie danych z wybranych usług
    • Blokuj klawiatury innych firm
    • Wymagaj/wybierz zatwierdzone klawiatury (Android)
    • Blokuj drukowanie danych organizacji

  • Włączanie wysokich wymagań dotyczących dostępu:

    • Blokuj prosty numer PIN i wymagaj określonej minimalnej długości numeru PIN
    • Wymagaj resetowania numeru PIN po kilku dniach
    • Wymagaj klasy 3 Biometria (Android 9.0+)
    • Wymagaj zastąpienia danych biometrycznych przy użyciu numeru PIN po aktualizacjach biometrycznych (Android)

  • Włącz uruchamianie aplikacji warunkowych o wysokim poziomie:

    • Wymagaj blokady urządzenia (Android)
    • Wymagaj maksymalnego dozwolonego poziomu zagrożenia
    • Wymagaj maksymalnej wersji systemu operacyjnego

Aby uzyskać więcej informacji, zobacz Poziom 3 — wysoka ochrona aplikacji.

Zgodność (poziom 3)

Na tym poziomie można rozszerzyć wbudowane możliwości zgodności usługi Intune za pomocą następujących możliwości:

  • Integrowanie danych od partnera usługi Mobile Threat Defense (MTD)

    • W przypadku partnera mtd zasady zgodności mogą wymagać, aby urządzenia były na poziomie zagrożenia urządzenia lub na poziomie zagrożenia lub na poziomie ryzyka maszyny, zgodnie z ustaleniami tego partnera

  • Korzystanie z partnera zgodności innej firmy w usłudze Intune

  • Użyj skryptów, aby dodać niestandardowe ustawienia zgodności do zasad dla ustawień, które nie są dostępne w interfejsie użytkownika usługi Intune. (Windows, Linux)

  • Używanie danych zasad zgodności z zasadami dostępu warunkowego w celu uzyskania dostępu do zasobów organizacji

Aby uzyskać więcej informacji, zobacz Level 3 — Advanced device compliance configurations (Poziom 3 — zaawansowane konfiguracje zgodności urządzeń).

Konfiguracja urządzenia (poziom 3)

Ten poziom koncentruje się na usługach i funkcjach na poziomie przedsiębiorstwa i może wymagać inwestycji w infrastrukturę. Na tym poziomie można tworzyć zasady, które:

  • Rozwiń zakres uwierzytelniania bez hasła do innych usług w organizacji, w tym uwierzytelniania opartego na certyfikatach, logowania jednokrotnego dla aplikacji, uwierzytelniania wieloskładnikowego (MFA) i bramy sieci VPN microsoft tunnel.

  • Rozwiń węzeł Microsoft Tunnel, wdrażając rozwiązanie Microsoft Tunnel for Mobile Application Management (Tunnel for MAM), które rozszerza obsługę aplikacji Tunnel na urządzenia z systemami iOS i Android, które nie są zarejestrowane w usłudze Intune. Tunel dla funkcji MAM jest dostępny jako dodatek usługi Intune.

    Aby uzyskać więcej informacji, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune Suite).

  • Skonfiguruj funkcje urządzenia, które mają zastosowanie do warstwy oprogramowania układowego systemu Windows. Użyj trybu typowych kryteriów systemu Android.

  • Użyj zasad usługi Intune dla rozwiązania LAPS (Local Administrator Password Solution) systemu Windows, aby zabezpieczyć wbudowane konto administratora lokalnego na zarządzanych urządzeniach z systemem Windows.

    Aby uzyskać więcej informacji, zobacz Obsługa usługi Intune dla systemu Windows LAPS.

  • Ochrona urządzeń z systemem Windows za pomocą usługi Endpoint Privilege Management (EPM), która ułatwia uruchamianie użytkowników organizacji jako użytkowników standardowych (bez uprawnień administratora), umożliwiając tym samym użytkownikom wykonywanie zadań wymagających podwyższonego poziomu uprawnień.

    Program EPM jest dostępny jako dodatek usługi Intune. Aby uzyskać więcej informacji, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune Suite).

  • Skonfiguruj wyspecjalizowane urządzenia, takie jak kioski i urządzenia udostępnione.

  • W razie potrzeby wdróż skrypty.

Aby uzyskać bardziej szczegółowe informacje na temat zasad konfiguracji urządzeń na tym poziomie, przejdź do pozycji Poziom 3 — wysoka ochrona i konfiguracja.

Następne kroki

Aby uzyskać pełną listę wszystkich profilów konfiguracji urządzeń, które można utworzyć, przejdź do pozycji Zastosuj funkcje i ustawienia na urządzeniach przy użyciu profilów urządzeń w Microsoft Intune.