Omówienie zarządzania urządzeniami za pomocą usługi Intune

Podstawowy składnik zabezpieczeń na poziomie przedsiębiorstwa obejmuje zarządzanie urządzeniami i ich ochronę. Niezależnie od tego, czy tworzysz Zero Trust architekturę zabezpieczeń, wzmacniasz ochronę środowiska przed oprogramowaniem wymuszającym okup, czy tworzysz ochronę w celu obsługi pracowników zdalnych, zarządzanie urządzeniami jest częścią strategii. Chociaż platforma Microsoft 365 zawiera kilka narzędzi i metodologii zarządzania urządzeniami i ich ochrony, w tych wskazówkach przedstawiono zalecenia firmy Microsoft dotyczące Microsoft Intune. Są to odpowiednie wskazówki dla Ciebie, jeśli:

  • Zaplanuj rejestrowanie urządzeń w usłudze Intune za pośrednictwem Microsoft Entra join (w tym Microsoft Entra sprzężenia hybrydowego).
  • Zaplanuj ręczne rejestrowanie urządzeń w usłudze Intune.
  • Zezwalaj urządzeniom BYOD z planami na implementowanie ochrony aplikacji i danych i/lub rejestrowanie tych urządzeń w usłudze Intune.

Z drugiej strony, jeśli środowisko zawiera plany współzarządzania, w tym Microsoft Configuration Manager, zobacz dokumentację współzarządzania, aby opracować najlepszą ścieżkę dla organizacji. Jeśli środowisko zawiera plany Komputer w chmurze Windows 365, zobacz Windows 365 Enterprise dokumentację, aby opracować najlepszą ścieżkę dla organizacji.

Obejrzyj to wideo, aby zapoznać się z omówieniem procesu wdrażania.

Dlaczego warto zarządzać punktami końcowymi?

Nowoczesne przedsiębiorstwo ma niesamowitą różnorodność punktów końcowych uzyskujących dostęp do danych. Ta konfiguracja tworzy ogromną powierzchnię ataku i w rezultacie punkty końcowe mogą łatwo stać się najsłabszym linkiem w strategii zabezpieczeń Zero Trust.

Głównie z powodu konieczności, gdy świat przechodzi do zdalnego lub hybrydowego modelu pracy, użytkownicy pracują z dowolnego miejsca, z dowolnego urządzenia, bardziej niż kiedykolwiek w historii. Atakujący szybko dostosowują taktykę, aby skorzystać z tej zmiany. Wiele organizacji boryka się z ograniczonymi zasobami podczas poruszania się po tych nowych wyzwaniach biznesowych. Praktycznie z dnia na dzień firmy przyspieszyły transformację cyfrową. Mówiąc najprościej, sposób pracy ludzi uległ zmianie — nie oczekujemy już dostępu do niezliczonych zasobów firmy tylko z biura i na urządzeniach należących do firmy.

Uzyskanie wglądu w punkty końcowe uzyskujące dostęp do zasobów firmy jest pierwszym krokiem w strategii Zero Trust urządzenia. Zazwyczaj firmy aktywnie chronią komputery przed lukami w zabezpieczeniach i atakami, podczas gdy urządzenia przenośne często nie sąmonitorowane i bez ochrony. Aby upewnić się, że nie narażasz danych na ryzyko, musimy monitorować każdy punkt końcowy pod kątem zagrożeń i stosować szczegółowe mechanizmy kontroli dostępu, aby zapewnić odpowiedni poziom dostępu na podstawie zasad organizacji. Jeśli na przykład urządzenie osobiste zostało zdjęte z zabezpieczeniami systemu, możesz zablokować dostęp, aby upewnić się, że aplikacje dla przedsiębiorstw nie są narażone na znane luki w zabezpieczeniach.

W tej serii artykułów przedstawiono zalecany proces zarządzania urządzeniami uzyskującymi dostęp do zasobów. Jeśli wykonasz zalecane kroki, twoja organizacja osiągnie bardzo zaawansowaną ochronę urządzeń i zasobów, do których uzyskują dostęp.

Implementowanie warstw ochrony na urządzeniach i dla nich

Ochrona danych i aplikacji na urządzeniach i samych urządzeniach jest procesem wielowarstwowym. Istnieją pewne zabezpieczenia, które można uzyskać na urządzeniach niezarządzanych. Po zarejestrowaniu urządzeń w systemie zarządzania można zaimplementować bardziej zaawansowane mechanizmy kontroli. Gdy ochrona przed zagrożeniami jest wdrażana w punktach końcowych, uzyskujesz jeszcze więcej szczegółowych informacji i możliwość automatycznego korygowania niektórych ataków. Na koniec, jeśli Twoja organizacja włożyła pracę w identyfikowanie poufnych danych, stosowanie klasyfikacji i etykiet oraz konfigurowanie zasad ochrony przed utratą danych w usłudze Microsoft Purview, możesz uzyskać jeszcze bardziej szczegółową ochronę danych w punktach końcowych.

Na poniższym diagramie przedstawiono bloki konstrukcyjne umożliwiające osiągnięcie Zero Trust stanu zabezpieczeń dla platformy Microsoft 365 i innych aplikacji SaaS wprowadzonych w tym środowisku. Elementy związane z urządzeniami są ponumerowane od 1 do 7. Są to warstwy ochrony, które administratorzy urządzeń będą koordynować z innymi administratorami.

Stos wdrażania Zero Trust platformy Microsoft 365

Na tej ilustracji:

  Krok Opis Wymagania dotyczące licencjonowania
1 Konfigurowanie zasad Zero Trust tożsamości i dostępu urządzeń do punktu początkowego Skontaktuj się z administratorem tożsamości, aby zaimplementować ochronę danych zasad ochrony aplikacji (APP) na poziomie 2. Te zasady nie wymagają zarządzania urządzeniami. Zasady aplikacji można skonfigurować w usłudze Intune. Administrator tożsamości konfiguruje zasady dostępu warunkowego, aby wymagać zatwierdzonych aplikacji. E3, E5, F1, F3, F5
2 Rejestrowanie urządzeń w usłudze Intune To zadanie wymaga więcej czasu i planowania do zaimplementowania. Firma Microsoft zaleca rejestrowanie urządzeń przy użyciu usługi Intune, ponieważ to narzędzie zapewnia optymalną integrację. Istnieje kilka opcji rejestrowania urządzeń, w zależności od platformy. Na przykład urządzenia z systemem Windows można zarejestrować przy użyciu Microsoft Entra join lub przy użyciu rozwiązania Autopilot. Musisz przejrzeć opcje dla każdej platformy i zdecydować, która opcja rejestracji jest najlepsza dla Twojego środowiska. Zobacz Krok 2. Aby uzyskać więcej informacji, zarejestruj urządzenia w usłudze Intune . E3, E5, F1, F3, F5
3 Konfigurowanie zasad zgodności Chcesz mieć pewność, że urządzenia uzyskujące dostęp do aplikacji i danych spełniają minimalne wymagania, na przykład urządzenia są chronione hasłem lub przypinaniem, a system operacyjny jest aktualny. Zasady zgodności to sposób definiowania wymagań, które muszą spełniać urządzenia. Krok 3. Konfigurowanie zasad zgodności ułatwia skonfigurowanie tych zasad. E3, E5, F3, F5
4 Konfigurowanie zasad Zero Trust tożsamości i dostępu urządzeń w przedsiębiorstwie (zalecane) Po zarejestrowaniu urządzeń możesz współpracować z administratorem tożsamości, aby dostosować zasady dostępu warunkowego, aby wymagać urządzeń w dobrej kondycji i zgodnych. E3, E5, F3, F5
5 Wdrażanie profilów konfiguracji W przeciwieństwie do zasad zgodności urządzeń, które po prostu oznaczają urządzenie jako zgodne lub nie na podstawie skonfigurowanych kryteriów, profile konfiguracji faktycznie zmieniają konfigurację ustawień na urządzeniu. Zasady konfiguracji umożliwiają zabezpieczenie urządzeń przed zagrożeniami cybernetycznymi. Zobacz Krok 5. Wdrażanie profilów konfiguracji. E3, E5, F3, F5
6 Monitorowanie ryzyka i zgodności urządzenia za pomocą punktów odniesienia zabezpieczeń W tym kroku połączysz usługę Intune z usługą Ochrona punktu końcowego w usłudze Microsoft Defender. Dzięki tej integracji można monitorować ryzyko urządzenia jako warunek dostępu. Urządzenia, które są w stanie ryzykownym, zostaną zablokowane. Można również monitorować zgodność z punktami odniesienia zabezpieczeń. Zobacz Krok 6. Monitorowanie ryzyka urządzenia i zgodności z punktami odniesienia zabezpieczeń. E5, F5
7 Wdrażanie funkcji ochrony przed utratą danych (DLP, data loss prevention) za pomocą funkcji ochrony informacji Jeśli Twoja organizacja włożyła pracę w identyfikowanie poufnych danych i etykietowanie dokumentów, możesz współpracować z administratorem ochrony informacji, aby chronić poufne informacje i dokumenty na urządzeniach. Dodatek zgodności E5, F5

Koordynowanie zarządzania punktami końcowymi za pomocą zasad tożsamości Zero Trust i dostępu do urządzeń

Te wskazówki są ściśle skoordynowane z zalecanymi zasadami Zero Trust tożsamości i dostępu do urządzeń. Będziesz pracować z zespołem ds. tożsamości w celu przeprowadzenia ochrony skonfigurowanej za pomocą usługi Intune w zasadach dostępu warunkowego w Microsoft Entra identyfikatorze.

Oto ilustracja zalecanego zestawu zasad z objaśnieniami kroków dotyczącymi pracy wykonywanej w usłudze Intune oraz powiązanych zasad dostępu warunkowego, które ułatwiają koordynowanie Microsoft Entra identyfikatora.

Zero Trust zasad dostępu do tożsamości i urządzeń

Na tej ilustracji:

  • W kroku 1 zaimplementuj zasady ochrony aplikacji (APP) poziomu 2 , aby skonfigurować zalecany poziom ochrony danych za pomocą zasad aplikacji. Następnie współpracujesz z zespołem ds. tożsamości, aby skonfigurować powiązaną regułę dostępu warunkowego w celu wymagania korzystania z tej ochrony.
  • W krokach 2, 3 i 4 rejestrowanie urządzeń w usłudze Intune, definiowanie zasad zgodności urządzeń, a następnie koordynowanie z zespołem tożsamości w celu skonfigurowania powiązanej reguły dostępu warunkowego w celu zezwolenia na dostęp tylko do zgodnych urządzeń.

Rejestrowanie urządzeń a dołączanie urządzeń

Jeśli zastosujesz się do tych wskazówek, zarejestrujesz urządzenia do zarządzania przy użyciu usługi Intune i dołączysz urządzenia do następujących możliwości platformy Microsoft 365:

  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Microsoft Purview (w celu zapobiegania utracie danych punktu końcowego (DLP))

Poniższa ilustracja zawiera szczegółowe informacje o tym, jak to działa przy użyciu usługi Intune.

Proces rejestrowania i dołączania urządzeń

Na ilustracji:

  1. Rejestrowanie urządzeń do zarządzania za pomocą usługi Intune.
  2. Użyj usługi Intune, aby dołączyć urządzenia do usługi Defender for Endpoint.
  3. Urządzenia dołączone do usługi Defender for Endpoint są również dołączane do funkcji usługi Microsoft Purview, w tym programu Endpoint DLP.

Należy pamiętać, że tylko usługa Intune zarządza urządzeniami. Dołączanie odnosi się do możliwości udostępniania informacji przez urządzenie określonej usłudze. Poniższa tabela zawiera podsumowanie różnic między rejestrowaniem urządzeń do zarządzania i dołączaniem urządzeń do określonej usługi.

  Zarejestrować Onboard
Opis Rejestracja dotyczy zarządzania urządzeniami. Urządzenia są rejestrowane do zarządzania za pomocą usługi Intune lub Configuration Manager. Dołączanie konfiguruje urządzenie do pracy z określonym zestawem możliwości na platformie Microsoft 365. Obecnie dołączanie ma zastosowanie do Ochrona punktu końcowego w usłudze Microsoft Defender i możliwości zgodności firmy Microsoft.

Na urządzeniach z systemem Windows dołączanie obejmuje przełączanie ustawienia w Windows Defender, które umożliwia usłudze Defender łączenie się z usługą online i akceptowanie zasad, które mają zastosowanie do urządzenia.
Zakres Te narzędzia do zarządzania urządzeniami zarządzają całym urządzeniem, w tym konfigurują urządzenie tak, aby spełniało określone cele, takie jak zabezpieczenia. Dołączanie ma wpływ tylko na usługi, które mają zastosowanie.
Zalecana metoda Microsoft Entra dołączanie automatycznie rejestruje urządzenia w usłudze Intune. Usługa Intune jest preferowaną metodą dołączania urządzeń do Windows Defender dla punktu końcowego, a w związku z tym możliwości usługi Microsoft Purview.

Należy pamiętać, że urządzenia dołączone do funkcji usługi Microsoft Purview przy użyciu innych metod nie są automatycznie rejestrowane w usłudze Defender for Endpoint.
Inne metody Inne metody rejestracji zależą od platformy urządzenia i od tego, czy jest to model BYOD, czy też jest zarządzany przez organizację. Inne metody dołączania urządzeń obejmują, w zalecanej kolejności:
  • Menedżer konfiguracji
  • Inne narzędzie do zarządzania urządzeniami przenośnymi (jeśli urządzenie jest zarządzane przez jedno)
  • Skrypt lokalny
  • Pakiet konfiguracji interfejsu VDI do dołączania nietrwałych urządzeń infrastruktury pulpitu wirtualnego (VDI)
  • Zasady grupy
  • Nauka dla administratorów

    Poniższe zasoby ułatwiają administratorom poznawanie pojęć dotyczących korzystania z usługi Intune.

    Upraszczanie zarządzania urządzeniami za pomocą Microsoft Intune Opis: informacje o nowoczesnym zarządzaniu i Microsoft Intune rodzinie produktów oraz o tym, jak narzędzia do zarządzania biznesowego na platformie Microsoft 365 mogą uprościć zarządzanie wszystkimi urządzeniami.

    Skonfiguruj Microsoft Intune Opis: Microsoft Intune pomaga chronić urządzenia, aplikacje i dane używane przez osoby w organizacji w celu zapewnienia produktywności. Po ukończeniu tego modułu skonfigurowano Microsoft Intune. Konfiguracja obejmuje przeglądanie obsługiwanych konfiguracji, rejestrowanie się w usłudze Intune, dodawanie użytkowników i grup, przypisywanie licencji do użytkowników, udzielanie uprawnień administratora i ustawianie urzędu MDM.