Udostępnij za pośrednictwem

Poziomy ochrony i konfiguracji w usłudze Microsoft Intune

  • Artykuł

Usługa Microsoft Intune zapewnia administratorom możliwość tworzenia zasad stosowanych do użytkowników, urządzeń i aplikacji. Te zasady mogą się wahać od minimalnego zestawu do bardziej bezpiecznych lub kontrolowanych zasad. Te zasady zależą od potrzeb organizacji, używanych urządzeń i tego, co będą robić urządzenia.

Gdy wszystko będzie gotowe do utworzenia zasad, możesz użyć różnych poziomów ochrony i konfiguracji:

Twoje środowisko i potrzeby biznesowe mogą mieć zdefiniowane różne poziomy. Możesz użyć tych poziomów jako punktu początkowego, a następnie dostosować je do swoich potrzeb. Można na przykład użyć zasad konfiguracji urządzenia na poziomie 1, a zasad aplikacji na poziomie 3.

Wybierz poziomy odpowiednie dla Twojej organizacji. Nie ma złego wyboru.

Poziom 1 — minimalna ochrona i konfiguracja

Ten poziom obejmuje zasady, które każda organizacja powinna mieć co najmniej. Zasady na tym poziomie tworzą minimalny punkt odniesienia funkcji zabezpieczeń i zapewniają użytkownikom dostęp do zasobów potrzebnych do wykonywania zadań.

Aplikacje (poziom 1)

Ten poziom wymusza uzasadnione wymagania dotyczące ochrony danych i dostępu oraz minimalizuje zakłócenia działania użytkowników końcowych. Ten poziom zapewnia ochronę aplikacji przy użyciu numeru PIN & podstawowego szyfrowania i uruchamia selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Ten poziom to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach skrzynek pocztowych usługi Exchange Online. Wprowadza również użytkownikom IT i użytkownikom końcowym zasady ochrony aplikacji.

Na tym poziomie firma Microsoft zaleca skonfigurowanie następującej ochrony i dostępu dla aplikacji:

  • Włączanie podstawowych wymagań dotyczących ochrony danych

    • Zezwalaj na podstawowy transfer danych aplikacji
    • Wymuszanie podstawowego szyfrowania aplikacji
    • Zezwalaj na podstawowe funkcje dostępu

  • Włączanie podstawowych wymagań dotyczących dostępu

    • Wymaganie numeru PIN, identyfikatora twarzy i dostępu biometrycznego
    • Wymuszanie obsługi podstawowych ustawień dostępu

  • Włączanie podstawowego uruchamiania aplikacji warunkowych

    • Konfigurowanie podstawowych prób dostępu do aplikacji
    • Blokuj dostęp do aplikacji na podstawie urządzeń ze zdjętymi zabezpieczeniami systemu lub urządzeniami z dostępem do konta root
    • Ograniczanie dostępu do aplikacji na podstawie podstawowej integralności urządzeń

Aby uzyskać więcej informacji, przejdź do poziomu 1 — podstawowa ochrona aplikacji.

Zgodność (poziom 1)

Na tym poziomie zgodność urządzeń konfiguruje ustawienia dla całej dzierżawy, które mają zastosowanie do wszystkich urządzeń. Wdrażasz również minimalne zasady zgodności na wszystkich urządzeniach, aby wymusić podstawowy zestaw wymagań dotyczących zgodności.

Firma Microsoft zaleca, aby te konfiguracje były dostępne przed zezwoleniem urządzeniom na dostęp do zasobów organizacji. Zgodność urządzeń na poziomie 1 obejmuje:

  • Ustawienia zasad zgodności to kilka ustawień dotyczących całej dzierżawy, które wpływają na sposób działania usługi zgodności usługi Intune z urządzeniami.

  • Zasady zgodności specyficzne dla platformy obejmują ustawienia typowych motywów na różnych platformach. Rzeczywista nazwa i implementacja ustawienia mogą się różnić w zależności od różnych platform:

    • Wymagaj oprogramowania antywirusowego, ochrony przed złośliwym kodem i oprogramowania chroniącego przed złośliwym kodem (tylko system Windows)
    • Wersja systemu operacyjnego
      • Maksymalna liczba systemów operacyjnych
      • Minimalny system operacyjny
      • Wersje pomocnicze i główne kompilacji
      • Poziomy poprawek systemu operacyjnego
    • Konfiguracje haseł
      • Wymuszanie ekranu blokady po okresie braku aktywności, co wymaga hasła lub przypięcia do odblokowania
      • Wymagaj złożonych haseł z kombinacjami liter, cyfr i symboli
      • Wymagaj hasła lub numeru PIN do odblokowywania urządzeń
      • Wymagaj minimalnej długości hasła

  • Akcje dotyczące niezgodności są automatycznie dołączane do poszczególnych zasad specyficznych dla platformy. Te akcje to co najmniej jedna skonfigurowana akcja uporządkowana w czasie. Dotyczą one urządzeń, które nie spełniają wymagań dotyczących zgodności zasad. Domyślnie oznaczanie urządzenia jako niezgodnego to natychmiastowa akcja dołączona do poszczególnych zasad.

Aby uzyskać więcej informacji, przejdź do pozycji Poziom 1 — minimalna zgodność urządzeń.

Konfiguracja urządzenia (poziom 1)

Na tym poziomie profile obejmują ustawienia, które koncentrują się na zabezpieczeniach i dostępie do zasobów. W szczególności na tym poziomie firma Microsoft zaleca skonfigurowanie następujących funkcji:

  • Włącz podstawowe zabezpieczenia, w tym:

    • Oprogramowanie antywirusowe i skanowanie
    • Wykrywanie zagrożeń i reagowanie na nie
    • Zapora
    • Aktualizacje oprogramowania
    • Silne zasady numeru PIN i hasła

  • Przyznaj użytkownikom dostęp do sieci:

    • Poczta e-mail
    • Sieć VPN na potrzeby dostępu zdalnego
    • Wi-Fi dostępu lokalnego

Aby uzyskać więcej informacji, przejdź do kroku 4 — tworzenie profilów konfiguracji urządzeń w celu zabezpieczania urządzeń i tworzenia połączeń z zasobami organizacji.

Poziom 2 — rozszerzona ochrona i konfiguracja

Ten poziom rozszerza minimalny zestaw zasad w celu uwzględnienia większej liczby zabezpieczeń i rozszerzenia zarządzania urządzeniami przenośnymi. Zasady na tym poziomie zabezpieczają więcej funkcji, zapewniają ochronę tożsamości i zarządzają większą ilością ustawień urządzenia.

Użyj ustawień na tym poziomie, aby dodać elementy skonfigurowane na poziomie 1.

Aplikacje (poziom 2)

Ten poziom zaleca standardowy poziom ochrony aplikacji dla urządzeń, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Ten poziom wprowadza mechanizmy zapobiegania wyciekom danych zasad ochrony aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Ten poziom to konfiguracja, która ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych.

Oprócz ustawień poziomu 1 firma Microsoft zaleca skonfigurowanie następującej ochrony i dostępu dla aplikacji:

  • Włączanie rozszerzonych wymagań dotyczących ochrony danych

    • Transferowanie danych związanych z organizacją
    • Wykluczanie wybranych aplikacji — wymagania dotyczące transferu danych (iOS/iPadOS)
    • Transfer danych telekomunikacyjnych
    • Ograniczanie wycinania, kopiowania i wklejania między aplikacjami
    • Blokowanie przechwytywania ekranu (Android)

  • Włączanie rozszerzonego uruchamiania aplikacji warunkowych

    • Blokuj wyłączanie kont aplikacji
    • Wymuszanie minimalnych wymagań dotyczących systemu operacyjnego urządzenia
    • Wymagaj minimalnej wersji poprawki (Android)
    • Wymagaj typu oceny werdyktu integralności odtwarzania (Android)
    • Wymagaj blokady urządzenia (Android)
    • Zezwalaj na dostęp do aplikacji w oparciu o zwiększoną integralność urządzenia

Aby uzyskać więcej informacji, przejdź do obszaru Rozszerzona ochrona aplikacji na poziomie 2.

Zgodność (poziom 2)

Na tym poziomie firma Microsoft zaleca dodanie bardziej szczegółowych opcji do zasad zgodności. Wiele ustawień na tym poziomie ma nazwy specyficzne dla platformy, które zapewniają podobne wyniki. Poniżej przedstawiono kategorie lub typy ustawień zalecane przez firmę Microsoft, gdy są dostępne:

  • Aplikacje

    • Zarządzanie miejscem pobierania aplikacji przez urządzenia, takie jak Google Play dla systemu Android
    • Zezwalaj na aplikacje z określonych lokalizacji
    • Blokowanie aplikacji z nieznanych źródeł

  • Ustawienia zapory

    • Ustawienia zapory (macOS, Windows)

  • Szyfrowanie

    • Wymagaj szyfrowania magazynu danych
    • Funkcja BitLocker (Windows)
    • FileVault (macOS)

  • Hasła

    • Wygaśnięcie hasła i ponowne użycie

  • Ochrona plików i rozruchu na poziomie systemu

    • Blokuj debugowanie USB (Android)
    • Blokuj urządzenia z odblokowanym dostępem lub zdjętymi zabezpieczeniami systemu (Android, iOS)
    • Wymagaj ochrony integralności systemu (macOS)
    • Wymagaj integralności kodu (Windows)
    • Wymagaj włączenia bezpiecznego rozruchu (Windows)
    • Moduł zaufanej platformy (Windows)

Aby uzyskać więcej informacji, przejdź do pozycji Poziom 2 — rozszerzone ustawienia zgodności urządzeń.

Konfiguracja urządzenia (poziom 2)

Na tym poziomie rozwijasz ustawienia i funkcje skonfigurowane na poziomie 1. Firma Microsoft zaleca utworzenie zasad, które:

  • Dodaj kolejną warstwę zabezpieczeń, włączając szyfrowanie dysków, bezpieczny rozruch i moduł TPM (Trusted Platform Module) na urządzeniach.
  • Skonfiguruj numery PIN & haseł w celu wygaśnięcia haseł i zarządzania nimi, jeśli/kiedy można ponownie używać haseł.
  • Skonfiguruj bardziej szczegółowe funkcje, ustawienia i zachowania urządzeń.
  • Określ, czy w usłudze Intune są dostępne obiekty zasad grupy (GPO).

Aby uzyskać bardziej szczegółowe informacje na temat zasad konfiguracji urządzeń na tym poziomie, przejdź do poziomu 2 — rozszerzona ochrona i konfiguracja.

Poziom 3 — wysoka ochrona i konfiguracja

Ten poziom obejmuje zasady na poziomie przedsiębiorstwa i może obejmować różnych administratorów w organizacji. Te zasady nadal przechodzą do uwierzytelniania bez hasła, mają większe zabezpieczenia i konfigurują wyspecjalizowane urządzenia.

Użyj ustawień na tym poziomie, aby dodać elementy skonfigurowane w poziomach 1 i 2.

Aplikacje (poziom 3)

Ten poziom zaleca standardowy poziom ochrony aplikacji dla urządzeń, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Na tym poziomie wprowadzono zaawansowaną ochronę danych, ulepszoną konfigurację numeru PIN i zasady ochrony aplikacji w usłudze Mobile Threat Defense. Ta konfiguracja dotyczy użytkowników uzyskujących dostęp do danych wysokiego ryzyka.

Oprócz ustawień poziomu 1 i 2 firma Microsoft zaleca skonfigurowanie następującej ochrony i dostępu dla aplikacji:

  • Włączanie wysokich wymagań dotyczących ochrony danych

    • Wysoka ochrona podczas przesyłania danych telekomunikacyjnych
    • Odbieranie danych tylko z aplikacji zarządzanych przez zasady
    • Blokuj otwieranie danych w dokumentach organizacji
    • Zezwalaj użytkownikom na otwieranie danych z wybranych usług
    • Blokowanie niechcianych klawiatur partnerów lub innych firm
    • Wymagaj/wybierz zatwierdzone klawiatury (Android)
    • Blokuj drukowanie danych organizacji

  • Włączanie wysokich wymagań dotyczących dostępu

    • Blokuj prosty numer PIN i wymagaj określonej minimalnej długości numeru PIN
    • Wymagaj resetowania numeru PIN po kilku dniach
    • Wymagaj klasy 3 Biometria (Android 9.0+)
    • Wymagaj zastąpienia danych biometrycznych przy użyciu numeru PIN po aktualizacjach biometrycznych (Android)

  • Włączanie uruchamiania aplikacji warunkowych o wysokim poziomie

    • Wymagaj blokady urządzenia (Android)
    • Wymagaj maksymalnego dozwolonego poziomu zagrożenia
    • Wymagaj maksymalnej wersji systemu operacyjnego

Aby uzyskać więcej informacji, przejdź do pozycji Poziom 3 — wysoka ochrona aplikacji.

Zgodność (poziom 3)

Na tym poziomie można rozszerzyć wbudowane funkcje zgodności usługi Intune za pomocą następujących możliwości:

  • Integrowanie danych od partnera usługi Mobile Threat Defense (MTD)

    • W przypadku partnera mtd zasady zgodności mogą wymagać, aby urządzenia były na poziomie zagrożenia urządzenia lub na poziomie zagrożenia lub na poziomie ryzyka maszyny, zgodnie z ustaleniami tego partnera.

  • Użyj partnera zgodności firmy innej niż Microsoft w usłudze Intune.

  • Użyj skryptów, aby dodać niestandardowe ustawienia zgodności do zasad dla ustawień, które nie są dostępne w interfejsie użytkownika usługi Intune. (Windows, Linux)

  • Użyj danych zasad zgodności z zasadami dostępu warunkowego, aby uzyskać dostęp do zasobów organizacji.

Aby uzyskać więcej informacji, przejdź do pozycji Poziom 3 — zaawansowane konfiguracje zgodności urządzeń.

Konfiguracja urządzenia (poziom 3)

Ten poziom koncentruje się na usługach i funkcjach na poziomie przedsiębiorstwa i może wymagać inwestycji w infrastrukturę. Na tym poziomie można tworzyć zasady, które:

  • Rozwiń zakres uwierzytelniania bez hasła do innych usług w organizacji, w tym uwierzytelniania opartego na certyfikatach, logowania jednokrotnego dla aplikacji, uwierzytelniania wieloskładnikowego (MFA) i bramy sieci VPN microsoft tunnel.

  • Rozwiń węzeł Microsoft Tunnel, wdrażając rozwiązanie Microsoft Tunnel for Mobile Application Management (Tunnel for MAM), które rozszerza obsługę aplikacji Tunnel na urządzenia z systemami iOS i Android, które nie są zarejestrowane w usłudze Intune. Tunel dla funkcji MAM jest dostępny jako dodatek usługi Intune.

    Aby uzyskać więcej informacji, przejdź do tematu Korzystanie z funkcji dodatku pakietu Intune Suite.

  • Skonfiguruj funkcje urządzenia, które mają zastosowanie do warstwy oprogramowania układowego systemu Windows. Użyj trybu typowych kryteriów systemu Android.

  • Użyj zasad usługi Intune dla rozwiązania LAPS (Local Administrator Password Solution) systemu Windows, aby zabezpieczyć wbudowane konto administratora lokalnego na zarządzanych urządzeniach z systemem Windows.

    Aby uzyskać informacje, przejdź do tematu Obsługa usługi Intune dla systemu Windows LAPS.

  • Ochrona urządzeń z systemem Windows przy użyciu usługi Endpoint Privilege Management (EPM). Program EPM ułatwia uruchamianie użytkowników organizacji jako użytkowników standardowych (bez uprawnień administratora) i umożliwia tym samym użytkownikom wykonywanie zadań wymagających podwyższonego poziomu uprawnień.

    Program EPM jest dostępny jako dodatek usługi Intune. Aby uzyskać więcej informacji, przejdź do tematu Korzystanie z funkcji dodatku pakietu Intune Suite.

  • Skonfiguruj wyspecjalizowane urządzenia, takie jak kioski i urządzenia udostępnione.

  • W razie potrzeby wdróż skrypty.

Aby uzyskać bardziej szczegółowe informacje na temat zasad konfiguracji urządzeń na tym poziomie, przejdź do pozycji Poziom 3 — wysoka ochrona i konfiguracja.

Powiązany artykuł

Aby uzyskać pełną listę wszystkich profilów konfiguracji urządzeń, które można utworzyć, przejdź do pozycji Zastosuj funkcje i ustawienia na urządzeniach przy użyciu profilów urządzeń w usłudze Microsoft Intune.