Уровни защиты и конфигурации в Microsoft Intune

Microsoft Intune предоставляет администраторам возможность создавать политики, применяемые к пользователям, устройствам и приложениям. Эти политики могут варьироваться от минимального набора до более безопасных или контролируемых политик. Эти политики зависят от потребностей организации, используемых устройств и того, что будут делать устройства.

Когда вы будете готовы к созданию политик, вы можете использовать различные уровни защиты и конфигурации:

• Уровень 1 . Минимальная защита и конфигурация
• Уровень 2. Расширенная защита и конфигурация
• Уровень 3 . Высокий уровень защиты и конфигурация

Среда и бизнес-потребности могут иметь разные уровни. Вы можете использовать эти уровни в качестве отправной точки, а затем настроить их в соответствии со своими потребностями. Например, можно использовать политики конфигурации устройств на уровне 1 и политики приложений на уровне 3.

Выберите уровни, подходящие для вашей организации. Нет неправильного выбора.

Уровень 1 . Минимальная защита и конфигурация

Этот уровень включает политики, которые должны быть у каждой организации, как минимум. Политики этого уровня создают минимальный базовый уровень функций безопасности и предоставляют пользователям доступ к ресурсам, необходимым для выполнения своих задач.

Приложения (уровень 1)

Этот уровень обеспечивает разумный объем требований к защите данных и доступу, а также сводит к минимуму нарушения работы конечных пользователей. Этот уровень гарантирует, что приложения защищены с помощью ПИН-кода & базового шифрования и выполняет выборочные операции очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Этот уровень представляет собой конфигурацию начального уровня, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online. Он также знакомит ИТ-специалистов и конечных пользователей с политиками защиты приложений.

На этом уровне корпорация Майкрософт рекомендует настроить следующие параметры защиты и доступа для приложений:

• Включение базовых требований к защите данных

  • Разрешение простой передачи данных в приложении
  • Применение базового шифрования приложений
  • Разрешить базовые функции доступа

• Включение базовых требований к доступу

  • Требовать ПИН-код, идентификатор лица и биометрический доступ
  • Принудительное применение поддержки основных параметров доступа

• Включение базового условного запуска приложения

  • Настройка основных попыток доступа к приложению
  • Блокировка доступа к приложениям на основе устройств со снятой защитой или привилегированным доступом
  • Ограничение доступа к приложениям на основе базовой целостности устройств

Дополнительные сведения см. в разделе Базовая защита приложений уровня 1.

Соответствие требованиям (уровень 1)

На этом уровне соответствие устройств настраивает параметры на уровне клиента, которые применяются ко всем устройствам. Вы также развертываете политики минимального соответствия на всех устройствах, чтобы обеспечить соблюдение основного набора требований к соответствию.

Корпорация Майкрософт рекомендует использовать эти конфигурации, прежде чем разрешить устройствам доступ к ресурсам вашей организации. Соответствие устройству уровня 1 включает:

• Параметры политики соответствия — это несколько параметров на уровне клиента, которые влияют на работу службы соответствия Intune с вашими устройствами.

• Политики соответствия требованиям для конкретных платформ включают параметры для общих тем на разных платформах. Фактическое имя и реализация параметра могут отличаться в зависимости от разных платформ:

  • Требовать антивирусную программу, антишпионское ПО и антивредоносное ПО (только Для Windows)
  • Версия операционной системы
    • Максимальное число ОС
    • Минимальная ОС
    • Дополнительные и основные версии сборки
    • Уровни исправлений ОС
  • Конфигурации паролей
    • Принудительное применение экрана блокировки после периода бездействия, требуя пароля или пин-кода для разблокировки
    • Требовать сложные пароли с сочетаниями букв, цифр и символов
    • Требовать пароль или ПИН-код для разблокировки устройств
    • Требовать минимальную длину пароля

• Действия в отношении несоответствия автоматически включаются в политику каждой платформы. Эти действия являются одним или несколькими упорядоченными по времени действиями, которые вы настраиваете. Они применяются к устройствам, которые не соответствуют требованиям вашей политики. По умолчанию маркировка устройства как несоответствующего является непосредственным действием, которое поставляется с каждой политикой.

Дополнительные сведения см. в разделе Уровень 1 — минимальное соответствие устройств.

Конфигурация устройства (уровень 1)

На этом уровне профили включают параметры, ориентированные на безопасность и доступ к ресурсам. В частности, на этом уровне корпорация Майкрософт рекомендует настроить следующие функции:

• Включите базовую безопасность, в том числе:

  • Антивирусная программа и сканирование
  • Обнаружение угроз и реагирование на нее
  • Брандмауэр
  • Обновления программного обеспечения
  • Политика надежных ПИН-кодов и паролей

• Предоставьте пользователям доступ к сети:

  • Электронная почта
  • VPN для удаленного доступа
  • Wi-Fi для локального доступа

Дополнительные сведения см. в разделе Шаг 4. Создание профилей конфигурации устройств для защиты устройств и создания подключений к ресурсам организации.

Уровень 2. Расширенная защита и конфигурация

Этот уровень расширяет минимальный набор политик, чтобы включить большую безопасность и расширить управление мобильными устройствами. Политики этого уровня обеспечивают защиту дополнительных функций, обеспечивают защиту идентификации и управляют дополнительными параметрами устройства.

Используйте параметры этого уровня, чтобы добавить то, что вы настроили на уровне 1.

Приложения (уровень 2)

На этом уровне рекомендуется стандартный уровень защиты приложений для устройств, где пользователи получают доступ к более конфиденциальной информации. На этом уровне представлены механизмы предотвращения утечки данных политики защиты приложений и минимальные требования к ОС. Этот уровень — это конфигурация, которая применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным.

В дополнение к параметрам уровня 1 корпорация Майкрософт рекомендует настроить следующие параметры защиты и доступа для приложений:

• Включение расширенных требований к защите данных

  • Передача данных, связанных с организацией
  • Исключение требований к передаче данных для выбранных приложений (iOS/iPadOS)
  • Передача телекоммуникационных данных
  • Ограничение вырезанной, копируемой и вставки между приложениями
  • Блокировка снимка экрана (Android)

• Включение расширенного условного запуска приложения

  • Блокировка отключения учетных записей приложений
  • Применение минимальных требований к ОС устройства
  • Требовать минимальную версию исправления (Android)
  • Требовать тип оценки вердикта целостности воспроизведения (Android)
  • Требовать блокировку устройства (Android)
  • Разрешить доступ к приложениям на основе повышенной целостности устройства

Дополнительные сведения см. в статье Расширенная защита приложений уровня 2.

Соответствие требованиям (уровень 2)

На этом уровне корпорация Майкрософт рекомендует добавить более детализированные параметры в политики соответствия требованиям. Многие параметры на этом уровне имеют имена, зависящие от платформы, которые обеспечивают одинаковые результаты. Ниже приведены категории или типы параметров, которые корпорация Майкрософт рекомендует использовать, когда они доступны.

• Приложения

  • Управление тем, где устройства получают приложения, например Google Play для Android
  • Разрешить приложения из определенных расположений
  • Блокировать приложения из неизвестных источников

• Параметры брандмауэра

  • Параметры брандмауэра (macOS, Windows)

• Шифрование

  • Требование шифрования хранилища данных
  • BitLocker (Windows)
  • FileVault (macOS)

• Пароли

  • Срок действия и повторное использование пароля

• Защита файлов и загрузки на уровне системы

  • Блокировка отладки USB (Android)
  • Блокировка устройств с привилегированным доступом или с отсеченной защитой (Android, iOS)
  • Требовать защиту целостности системы (macOS)
  • Требовать целостность кода (Windows)
  • Требовать включения безопасной загрузки (Windows)
  • Доверенный платформенный модуль (Windows)

Дополнительные сведения см. в разделе Уровень 2 . Расширенные параметры соответствия устройств.

Конфигурация устройства (уровень 2)

На этом уровне вы расширяете параметры и функции, настроенные на уровне 1. Корпорация Майкрософт рекомендует создавать политики, которые:

• Добавьте еще один уровень безопасности, включив шифрование дисков, безопасную загрузку и доверенный платформенный модуль (TPM) на ваших устройствах.
• Настройте ПИН-коды & пароли для истечения срока действия и управлять тем, можно ли использовать пароли повторно.
• Настройте более детализированные функции, параметры и поведение устройства.
• Определите, доступны ли в Intune какие-либо локальные объекты групповой политики.

Дополнительные сведения о политиках конфигурации устройств на этом уровне см. в разделе Уровень 2 . Расширенная защита и конфигурация.

Уровень 3 . Высокий уровень защиты и конфигурация

Этот уровень включает политики корпоративного уровня и может включать различных администраторов в вашей организации. Эти политики продолжают переходить на проверку подлинности без пароля, имеют большую безопасность и настраивают специализированные устройства.

Используйте параметры этого уровня, чтобы добавить параметры, настроенные на уровнях 1 и 2.

Приложения (уровень 3)

На этом уровне рекомендуется стандартный уровень защиты приложений для устройств, где пользователи получают доступ к более конфиденциальной информации. Этот уровень предоставляет расширенную защиту данных, расширенную конфигурацию ПИН-кода и политику защиты приложений с помощью Mobile Threat Defense. Эта конфигурация подходит для пользователей, которые получают доступ к данным с высоким риском.

В дополнение к параметрам уровня 1 и 2 корпорация Майкрософт рекомендует настроить следующие параметры защиты и доступа для приложений:

• Обеспечение высоких требований к защите данных

  • Высокая защита при передаче телекоммуникационных данных
  • Получение данных только из приложений, управляемых политикой
  • Блокировка открытия данных в документах организации
  • Разрешить пользователям открывать данные из выбранных служб
  • Блокировка нежелательных клавиатур партнеров или сторонних компонентов
  • Требовать или выбирать утвержденные клавиатуры (Android)
  • Блокировка печати данных организации

• Включение высоких требований к доступу

  • Блокировать простой ПИН-код и требовать определенную минимальную длину ПИН-кода
  • Требовать сброс ПИН-кода через количество дней
  • Требовать биометрию класса 3 (Android 9.0 и более поздних версий)
  • Требовать переопределения биометрии с ПОМОЩЬЮ ПИН-кода после биометрических обновлений (Android)

• Включение запуска приложения с высоким уровнем условности

  • Требовать блокировку устройства (Android)
  • Требовать максимальный допустимый уровень угрозы
  • Требовать максимальную версию ОС

Дополнительные сведения см. в разделе Уровень 3 с высоким уровнем защиты приложений.

Соответствие требованиям (уровень 3)

На этом уровне вы можете расширить встроенные функции соответствия intune с помощью следующих возможностей:

• Интеграция данных от партнера Mobile Threat Defense (MTD)

  • При использовании партнера MTD политики соответствия требованиям могут требовать, чтобы устройства были на уровне угрозы устройства или в оценке риска компьютера, как определено этим партнером.

• Используйте партнера по соответствию требованиям, отличного от Корпорации Майкрософт, в Intune.

• Используйте скрипты для добавления настраиваемых параметров соответствия в политики для параметров, недоступных в пользовательском интерфейсе Intune. (Windows, Linux)

• Используйте данные политики соответствия требованиям с политиками условного доступа для доступа к ресурсам организации.

Дополнительные сведения см. в разделе Уровень 3 . Дополнительные конфигурации соответствия устройств.

Конфигурация устройства (уровень 3)

Этот уровень ориентирован на службы и функции корпоративного уровня и может потребовать инвестиций в инфраструктуру. На этом уровне можно создать политики, которые:

• Разверните проверку подлинности без пароля для других служб в организации, включая проверку подлинности на основе сертификатов, единый вход для приложений, многофакторную проверку подлинности (MFA) и VPN-шлюз Microsoft Tunnel.

• Разверните Microsoft Tunnel, развернув Microsoft Tunnel для управления мобильными приложениями (Tunnel для MAM), который расширяет поддержку Tunnel для устройств iOS и Android, которые не зарегистрированы в Intune. Tunnel для MAM доступен в виде надстройки Intune.

  Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.

• Настройте функции устройства, которые применяются к уровню встроенного ПО Windows. Используйте режим общих условий Android.

• Используйте политику Intune для решения с паролем локального администратора Windows (LAPS), чтобы защитить встроенную учетную запись локального администратора на управляемых устройствах Windows.

  Дополнительные сведения см. в разделе Поддержка Intune для Windows LAPS.

• Защита устройств Windows с помощью управления привилегиями конечных точек (EPM). EPM помогает запускать пользователей организации как стандартных пользователей (без прав администратора) и позволяет тем же пользователям выполнять задачи, требующие повышенных привилегий.

  EPM доступен как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.

• Настройте специализированные устройства, такие как киоски и общие устройства.

• При необходимости разверните скрипты.

Дополнительные сведения о политиках конфигурации устройств на этом уровне см. в разделе Уровень 3 . Высокий уровень защиты и конфигурации.

Связанная статья

Полный список всех профилей конфигурации устройств, которые можно создать, см. в статье Применение функций и параметров на устройствах с помощью профилей устройств в Microsoft Intune.