Ochrona danych i urządzeń za pomocą Microsoft Intune

Microsoft Intune może pomóc w zapewnieniu bezpieczeństwa i aktualności zarządzanych urządzeń, jednocześnie pomagając chronić dane organizacji przed urządzeniami, na które bezpieczeństwo zostało naruszone. Ochrona danych obejmuje kontrolowanie, co użytkownicy robią z danymi organizacji na urządzeniach zarządzanych i niezarządzanych. Ochrona danych obejmuje również blokowanie dostępu do danych z urządzeń, które mogą zostać naruszone.

W tym artykule przedstawiono wiele wbudowanych funkcji i technologii partnerskich usługi Intune, które można zintegrować z usługą Intune. Gdy dowiesz się więcej o nich, możesz zebrać kilka bardziej kompleksowych rozwiązań w drodze do środowiska zerowego zaufania.

W centrum administracyjnym Microsoft Intune usługa Intune obsługuje zarządzane urządzenia z systemem Android, iOS/iPad, Linux, macOS oraz Windows 10 i Windows 11.

Jeśli używasz Configuration Manager do zarządzania urządzeniami lokalnymi, możesz rozszerzyć zasady usługi Intune na te urządzenia, konfigurując dołączanie dzierżawy lub współzarządzanie.

Usługa Intune może również pracować z informacjami z urządzeń zarządzanych przy użyciu produktów innych firm, które zapewniają zgodność urządzeń i ochronę przed zagrożeniami mobilnymi.

Ochrona urządzeń za pomocą zasad

Wdrażanie zasad zabezpieczeń punktów końcowych, konfiguracji urządzeń i zgodności urządzeń usługi Intune w celu skonfigurowania urządzeń w celu osiągnięcia celów bezpieczeństwa organizacji. Zasady obsługują co najmniej jeden profil, czyli odrębne zestawy reguł specyficznych dla platformy wdrażanych w grupach zarejestrowanych urządzeń.

• Dzięki zasadom zabezpieczeń punktu końcowego wdróż zasady skoncentrowane na zabezpieczeniach, które ułatwiają skoncentrowanie się na zabezpieczeniach urządzeń i ograniczanie ryzyka. Dostępne zadania mogą pomóc w zidentyfikowaniu zagrożonych urządzeń, skorygowaniu tych urządzeń i przywróceniu ich do stanu zgodnego lub bezpieczniejszego.

• Za pomocą zasad konfiguracji urządzeń zarządzaj profilami definiującymi ustawienia i funkcje używane przez urządzenia w organizacji. Konfigurowanie urządzeń pod kątem ochrony punktu końcowego, aprowizowanie certyfikatów na potrzeby uwierzytelniania, ustawianie zachowań aktualizacji oprogramowania i nie tylko.

• Zasady zgodności urządzeń umożliwiają tworzenie profilów dla różnych platform urządzeń, które określają wymagania dotyczące urządzeń. Wymagania mogą obejmować wersje systemu operacyjnego, korzystanie z szyfrowania dysków lub na określonych poziomach zagrożeń zdefiniowanych przez oprogramowanie do zarządzania zagrożeniami.

  Usługa Intune może chronić urządzenia, które nie są zgodne z zasadami, i ostrzegać użytkownika urządzenia, aby mógł zapewnić zgodność urządzenia.

  Po dodaniu dostępu warunkowego do kombinacji należy skonfigurować zasady, które zezwalają tylko zgodnym urządzeniom na dostęp do sieci i zasobów organizacji. Ograniczenia dostępu mogą obejmować udziały plików i firmowe wiadomości e-mail. Zasady dostępu warunkowego działają również z danymi o stanie urządzenia zgłoszonymi przez partnerów zgodności urządzeń innych firm , które integrujesz z usługą Intune.

Poniżej przedstawiono kilka ustawień zabezpieczeń i zadań, które można zarządzać za pomocą dostępnych zasad:

• Szyfrowanie urządzenia — zarządzanie funkcją BitLocker na urządzeniach Windows 10 i programem FileVault w systemie macOS.

• Metody uwierzytelniania — skonfiguruj sposób uwierzytelniania urządzeń w zasobach, wiadomościach e-mail i aplikacjach organizacji.

  • Używaj certyfikatów do uwierzytelniania w aplikacjach, zasobach organizacji oraz do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME. Można również skonfigurować poświadczenia pochodne , gdy środowisko wymaga użycia kart inteligentnych.

  • Skonfiguruj ustawienia, które pomagają ograniczyć ryzyko, na przykład:

    • Wymagaj uwierzytelniania wieloskładnikowego (MFA), aby dodać dodatkową warstwę uwierzytelniania dla użytkowników.
    • Ustaw wymagania dotyczące numeru PIN i hasła, które muszą zostać spełnione przed uzyskaniem dostępu do zasobów.
    • Włącz Windows Hello dla firm dla urządzeń Windows 10.

• Wirtualne sieci prywatne (VPN) — w przypadku profilów sieci VPN przypisz ustawienia sieci VPN do urządzeń, aby mogły łatwo łączyć się z siecią organizacji. Usługa Intune obsługuje kilka typów połączeń sieci VPN i aplikacji, które obejmują zarówno wbudowane funkcje dla niektórych platform, jak i aplikacje sieci VPN pierwszej i innej firmy dla urządzeń.

• Aktualizacje oprogramowania — zarządzanie sposobem i kiedy urządzenia uzyskują aktualizacje oprogramowania. Obsługiwane są następujące elementy:

  • Aktualizacje oprogramowania układowego systemu Android:
    • Oprogramowanie układowe over-the-Air (FOTA) — obsługiwane przez niektóre maszyny OEM, można użyć FOTA do zdalnej aktualizacji oprogramowania układowego urządzeń.
    • Zebra LifeGuard Over-the-Air (LG OTA) — zarządzanie aktualizacjami oprogramowania układowego obsługiwanych urządzeń Zebra za pośrednictwem centrum administracyjnego usługi Intune.
  • iOS — zarządzanie wersjami systemu operacyjnego urządzeń oraz sprawdzanie i instalowanie aktualizacji przez urządzenia.
  • macOS — zarządzanie aktualizacjami oprogramowania dla urządzeń z systemem macOS zarejestrowanych jako urządzenia nadzorowane.
  • Windows 10 możesz zarządzać środowiskiem Windows Update dla urządzeń. Można skonfigurować, kiedy urządzenia skanują lub instalują aktualizacje, przechowują zestaw urządzeń zarządzanych w określonych wersjach funkcji i nie tylko.

• Punkty odniesienia zabezpieczeń — wdrażanie punktów odniesienia zabezpieczeń w celu ustanowienia podstawowej postawy zabezpieczeń na urządzeniach Windows 10. Punkty odniesienia zabezpieczeń to wstępnie skonfigurowane grupy ustawień systemu Windows, które są zalecane przez odpowiednie zespoły produktów. W celu osiągnięcia celów bezpieczeństwa dla docelowych grup urządzeń można użyć punktów odniesienia zgodnie z ich danymi lub edytować ich wystąpienia.

Ochrona danych za pomocą zasad

Aplikacje zarządzane przez usługę Intune i zasady ochrony aplikacji usługi Intune mogą pomóc zatrzymać wycieki danych i zapewnić bezpieczeństwo danych organizacji. Te zabezpieczenia mogą mieć zastosowanie do urządzeń zarejestrowanych w usłudze Intune i do urządzeń, które nie są.

• Aplikacje zarządzane przez usługę Intune (lub aplikacje zarządzane w skrócie) to aplikacje zintegrowane z zestawem SDK aplikacji usługi Intune lub opakowane przez App Wrapping Tool usługi Intune. Tymi aplikacjami można zarządzać przy użyciu zasad ochrony aplikacji usługi Intune. Aby wyświetlić listę publicznie dostępnych aplikacji zarządzanych, zobacz Aplikacje chronione przez usługę Intune.

  Użytkownicy mogą używać aplikacji zarządzanych do pracy zarówno z danymi organizacji, jak i własnymi danymi osobowymi. Jeśli jednak zasady ochrony aplikacji wymagają użycia aplikacji zarządzanej, aplikacja zarządzana jest jedyną aplikacją, która może być używana do uzyskiwania dostępu do danych organizacji. Ochrona aplikacji reguły nie mają zastosowania do danych osobowych użytkownika.

• Ochrona aplikacji zasady to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji. Reguły identyfikują zarządzaną aplikację, która musi być używana, i określają, co można zrobić z danymi, gdy aplikacja jest w użyciu.

Poniżej przedstawiono przykłady zabezpieczeń i ograniczeń, które można ustawić za pomocą zasad ochrony aplikacji i zarządzanych aplikacji:

• Skonfiguruj zabezpieczenia warstwy aplikacji, takie jak wymaganie numeru PIN w celu otwarcia aplikacji w kontekście służbowym.
• Kontrolowanie udostępniania danych organizacji między aplikacjami na urządzeniu, takich jak blokowanie kopiowania i wklejania lub przechwytywanie ekranu.
• Zapobiegaj zapisywaniu danych organizacji w osobistych lokalizacjach magazynu.

Ochrona urządzeń i danych przy użyciu akcji urządzenia

W centrum administracyjnym Microsoft Intune można uruchamiać akcje urządzenia, które ułatwiają ochronę wybranego urządzenia. Możesz uruchomić podzbiór tych akcji jako akcje urządzenia zbiorczego , aby wpłynąć na wiele urządzeń w tym samym czasie. Z urządzeń współzarządzanych można również korzystać z kilku akcji zdalnych z usługi Intune .

Akcje urządzenia nie są zasadami i są uruchamiane pojedynczo po wywołaniu. Mają one zastosowanie natychmiast, jeśli urządzenie jest dostępne online lub gdy urządzenie jest uruchamiane lub zaewidencjonuje je w usłudze Intune. Te akcje są traktowane jako uzupełnienie stosowania zasad, które konfigurują i utrzymują konfiguracje zabezpieczeń dla populacji urządzeń.

Poniżej przedstawiono przykłady akcji, które można uruchomić, które ułatwiają zabezpieczanie urządzeń i danych:

Urządzenia zarządzane przez usługę Intune:

• Rotacja kluczy funkcji BitLocker (tylko system Windows)
• Wyłącz blokadę aktywacji (tylko system iOS)
• Pełne lub szybkie skanowanie (tylko Windows 10)
• Zdalne blokowanie
• Wycofywanie (co usuwa dane organizacji z urządzenia, pozostawiając dane osobowe bez zmian)
• Aktualizowanie analizy zabezpieczeń Microsoft Defender
• Czyszczenie (resetowanie urządzenia do ustawień fabrycznych, usuwanie wszystkich danych, aplikacji i ustawień)

Urządzenia zarządzane przez Configuration Manager:

• Wycofaj
• Wyczyść dane
• Synchronizacja (wymuś natychmiastowe zaewidencjonowanie urządzenia w usłudze Intune w celu znalezienia nowych zasad lub oczekujących akcji)

Integracja z innymi produktami i technologiami partnerskimi

Usługa Intune obsługuje integrację z aplikacjami partnerskimi zarówno ze źródeł innych firm, jak i innych firm, które rozszerzają jej wbudowane możliwości. Możesz również zintegrować usługę Intune z kilkoma technologiami firmy Microsoft.

Partnerzy ds. zgodności

Dowiedz się więcej o korzystaniu z partnerów zgodności urządzeń w usłudze Intune. Podczas zarządzania urządzeniem za pomocą partnera do zarządzania urządzeniami przenośnymi innego niż usługa Intune można zintegrować te dane zgodności z Tożsamość Microsoft Entra. Po zintegrowaniu zasady dostępu warunkowego mogą używać danych partnera wraz z danymi zgodności z usługi Intune.

Menedżer konfiguracji

Aby chronić urządzenia zarządzane za pomocą Configuration Manager, można użyć wielu zasad i akcji urządzeń usługi Intune. Aby obsługiwać te urządzenia, skonfiguruj współzarządzanie lub dołączanie dzierżawy. Można również użyć obu tych elementów razem z usługą Intune.

• Współzarządzanie umożliwia współzarządzanie urządzeniem Windows 10 przy użyciu Configuration Manager i usługi Intune. Zainstaluj klienta Configuration Manager i zarejestruj urządzenie w usłudze Intune. Urządzenie komunikuje się z obiema usługami.

• W przypadku dołączania dzierżawy należy skonfigurować synchronizację między witryną Configuration Manager a dzierżawą usługi Intune. Ta synchronizacja zapewnia jeden widok dla wszystkich urządzeń zarządzanych za pomocą Microsoft Intune.

Po nawiązaniu połączenia między usługą Intune i Configuration Manager urządzenia z Configuration Manager są dostępne w centrum administracyjnym Microsoft Intune. Następnie można wdrożyć zasady usługi Intune na tych urządzeniach lub użyć akcji urządzenia w celu ich ochrony.

Niektóre z ochrony, które można zastosować, obejmują:

• Wdrażanie certyfikatów na urządzeniach przy użyciu profilów certyfikatów protokołu SCEP ( Simple Certificate Enrollment Protocol ) usługi Intune lub pary kluczy prywatnych i publicznych (PKCS).
• Użyj zasad zgodności.
• Użyj zasad zabezpieczeń punktu końcowego, takich jak oprogramowanie antywirusowe, wykrywanie i reagowanie punktów końcowych oraz reguły zapory .
• Stosowanie punktów odniesienia zabezpieczeń.
• Zarządzanie Aktualizacje systemu Windows.

Aplikacje do ochrony przed zagrożeniami mobilnymi

Aplikacje usługi Mobile Threat Defense (MTD) aktywnie skanują i analizują urządzenia pod kątem zagrożeń. Podczas integrowania (łączenia) aplikacji usługi Mobile Threat Defense z usługą Intune uzyskujesz ocenę poziomu zagrożeń urządzeń przez aplikacje. Ocena poziomu zagrożenia lub ryzyka urządzenia jest ważnym narzędziem do ochrony zasobów organizacji przed urządzeniami przenośnymi, które zostały naruszone. Następnie możesz użyć tego poziomu zagrożenia w różnych zasadach, takich jak zasady dostępu warunkowego, aby ułatwić dostęp do tych zasobów.

Użyj danych na poziomie zagrożenia z zasadami dotyczącymi zgodności urządzeń, ochrony aplikacji i dostępu warunkowego. Te zasady używają danych, aby uniemożliwić niezgodnym urządzeniom dostęp do zasobów organizacji.

Zintegrowana aplikacja MTD:

• W przypadku zarejestrowanych urządzeń:

  • Użyj usługi Intune, aby wdrożyć aplikację MTD i zarządzać nią na urządzeniach.
  • Wdróż zasady zgodności urządzeń korzystające z poziomu zagrożenia zgłoszonego przez urządzenia w celu oceny zgodności.
  • Zdefiniuj zasady dostępu warunkowego, które uwzględniają poziom zagrożenia urządzeń.
  • Zdefiniuj zasady ochrony aplikacji, aby określić, kiedy zablokować lub zezwolić na dostęp do danych na podstawie poziomu zagrożenia urządzenia.

• W przypadku urządzeń, które nie są rejestrowane w usłudze Intune , ale korzystają z aplikacji MTD zintegrowanej z usługą Intune, użyj danych na poziomie zagrożeń z zasadami ochrony aplikacji, aby zablokować dostęp do danych organizacji.

Usługa Intune obsługuje integrację z:

• Kilku partnerów MTD innych firm.
• Ochrona punktu końcowego w usłudze Microsoft Defender, która obsługuje dodatkowe możliwości w usłudze Intune.

Ochrona punktu końcowego w usłudze Microsoft Defender

Sama Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia kilka korzyści ukierunkowanych na bezpieczeństwo. Ochrona punktu końcowego w usłudze Microsoft Defender również integruje się z usługą Intune i jest obsługiwana na kilku platformach urządzeń. Dzięki integracji uzyskujesz aplikację do ochrony przed zagrożeniami mobilnymi i dodajesz do usługi Intune funkcje zapewniające bezpieczeństwo danych i urządzeń. Te możliwości obejmują:

• Obsługa rozwiązania Microsoft Tunnel — na urządzeniach z systemem Android Ochrona punktu końcowego w usłudze Microsoft Defender jest aplikacją kliencką używaną z rozwiązaniem microsoft tunnel, czyli bramą sieci VPN dla usługi Intune. Jeśli jest używana jako aplikacja kliencka microsoft tunnel, nie potrzebujesz subskrypcji dla Ochrona punktu końcowego w usłudze Microsoft Defender.

• Zadania zabezpieczeń — dzięki zadaniu zabezpieczeń administratorzy usługi Intune mogą korzystać z możliwości Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender. Jak to działa:

  • Zespół usługi Defender for Endpoint identyfikuje urządzenia zagrożone i tworzy zadania zabezpieczeń dla usługi Intune w centrum zabezpieczeń usługi Defender for Endpoint.
  • Te zadania są wyświetlane w usłudze Intune z poradami dotyczącymi ograniczania ryzyka, których administratorzy usługi Intune mogą użyć do ograniczenia ryzyka.
  • Po rozwiązaniu zadania w usłudze Intune ten stan jest przekazywany z powrotem do centrum zabezpieczeń usługi Defender for Endpoint, gdzie można ocenić wyniki ograniczenia ryzyka.

• Zasady zabezpieczeń punktu końcowego — następujące zasady zabezpieczeń punktu końcowego usługi Intune wymagają integracji z Ochrona punktu końcowego w usłudze Microsoft Defender. W przypadku korzystania z dołączania dzierżawy można wdrożyć te zasady na urządzeniach zarządzanych za pomocą usługi Intune lub Configuration Manager.

  • Zasady ochrony antywirusowej — zarządzaj ustawieniami programu antywirusowego Microsoft Defender i środowiskiem Zabezpieczenia Windows na obsługiwanych urządzeniach, takich jak Windows 10 i macOS.

  • Zasady wykrywania i reagowania punktów końcowych — te zasady umożliwiają skonfigurowanie wykrywania i reagowania na punkty końcowe (EDR), co jest funkcją Ochrona punktu końcowego w usłudze Microsoft Defender.

Dostęp warunkowy

Dostęp warunkowy to funkcja Microsoft Entra, która współpracuje z usługą Intune w celu ochrony urządzeń. W przypadku urządzeń, które rejestrują się przy użyciu Tożsamość Microsoft Entra, zasady dostępu warunkowego mogą używać szczegółów dotyczących urządzeń i zgodności z usługi Intune w celu wymuszania decyzji dotyczących dostępu dla użytkowników i urządzeń.

Połącz zasady dostępu warunkowego z:

• Zasady zgodności urządzeń mogą wymagać, aby urządzenie było oznaczone jako zgodne, zanim będzie można użyć tego urządzenia do uzyskania dostępu do zasobów organizacji. Zasady dostępu warunkowego określają usługi aplikacji, które chcesz chronić, warunki dostępu do aplikacji lub usług oraz użytkowników, których dotyczą zasady.

• Ochrona aplikacji zasad można dodać warstwę zabezpieczeń, która gwarantuje, że tylko aplikacje klienckie obsługujące zasady ochrony aplikacji usługi Intune mogą uzyskiwać dostęp do zasobów online, takich jak exchange lub inne usługi Platformy Microsoft 365.

Dostęp warunkowy współdziała również z następującymi elementami, aby zapewnić bezpieczeństwo urządzeń:

• Ochrona punktu końcowego w usłudze Microsoft Defender i aplikacje MTD innych firm
• Aplikacje partnerów zgodności urządzeń
• Microsoft Tunnel

Dodawanie usługi Endpoint Privilege Management

Usługa Endpoint Privilege Management (EPM) umożliwia uruchamianie użytkowników systemu Windows jako użytkowników standardowych przy jednoczesnym podnoszeniu uprawnień tylko w razie potrzeby zgodnie z wymaganiami reguł i parametrów organizacji ustawionych przez organizację. Ten projekt obsługuje wymuszanie dostępu z najniższymi uprawnieniami— podstawowej dzierżawy architektury zabezpieczeń Zero Trust. Program EPM umożliwia zespołom IT wydajniejsze zarządzanie standardowymi użytkownikami i ograniczanie ich obszaru ataków przez umożliwienie pracownikom uruchamiania jako administratorzy dla określonych, zatwierdzonych aplikacji lub zadań.

Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

Wdrażając zdefiniowane reguły podniesienia uprawnień epm, można zezwolić na uruchamianie tylko zaufanych aplikacji w kontekście z podwyższonym poziomem uprawnień. Na przykład reguły mogą wymagać dopasowania skrótu pliku lub obecności certyfikatu w celu zweryfikowania integralności plików przed jego uruchomieniem na urządzeniu.

Porada

Usługa Endpoint Privilege Management jest dostępna jako dodatek usługi Intune, który wymaga dodatkowej licencji do użycia i obsługuje urządzenia Windows 10 i Windows 11.

Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami punktu końcowego.

Następne kroki

Zaplanuj korzystanie z możliwości usługi Intune w celu zapewnienia obsługi podróży do środowiska zerowego zaufania przez ochronę danych i zabezpieczanie urządzeń. Poza poprzednimi linkami w wierszu, aby dowiedzieć się więcej o tych możliwościach, dowiedz się więcej o zabezpieczeniach danych i udostępnianiu ich w usłudze Intune.