Защита данных и устройств с помощью Microsoft Intune

Microsoft Intune помогает обеспечить безопасность и актуальность управляемых устройств при одновременной защите данных организации от скомпрометированных устройств. Контролируйте действия пользователей с данными организации как на управляемых, так и на неуправляемых устройствах, а также блокируйте доступ к данным с потенциально скомпрометированных устройств.

В этой статье представлены встроенные возможности безопасности Intune и партнерские технологии, которые совместно поддерживают решения "Никому не доверяй" для вашей организации. В этом обзоре описаны основные возможности защиты и ссылки на подробную документацию по настройке и развертыванию.

Intune также может интегрироваться со сторонними продуктами, которые обеспечивают соответствие устройств и сигналы защиты от угроз на мобильных устройствах (MTD).

Поддержка платформы

В Центре администрирования Microsoft Intune Intune поддерживает управляемые устройства под управлением:

  • Android
  • iOS/iPadOS
  • Linux
  • macOS
  • Windows

Кроме того, при использовании Configuration Manager для управления локальными устройствами можно расширить Intune политики на эти устройства с помощью подключения клиента или совместного управления.

Развертывание политик безопасности для защиты устройств

Разверните политики для настройки и обеспечения безопасности на зарегистрированных устройствах. Для защиты устройств работают следующие типы политик:

Политики безопасности конечных точек — политики безопасности, ориентированные на определенные области защиты:

  • Защита учетных записей — Windows Hello для бизнеса, Credential Guard и Windows LAPS
  • Антивирусная программа — конфигурация и исключения антивирусной программы Microsoft Defender
  • Элемент управления приложениями для бизнеса — список разрешенных приложений с помощью элемента управления приложениями в Защитнике Windows
  • Сокращение направлений атак . Уменьшение уязвимостей эксплойтов и векторов атак
  • Шифрование дисков — BitLocker, шифрование персональных данных (PDE) и FileVault
  • Обнаружение конечных точек и реагирование — подключение Microsoft Defender для конечной точки
  • Брандмауэр — защита сети и правила брандмауэра

Политики конфигурации устройств — более широкие параметры устройства, включая защиту конечных точек, сертификаты, обновления программного обеспечения и VPN. Используйте, когда необходимо объединить параметры безопасности с конфигурациями функциональных возможностей устройства.

Политики соответствия устройств . Определите требования к устройству, такие как версии ОС, состояние шифрования и уровни угроз. Несоответствующие устройства активируют оповещения и могут быть заблокированы для ресурсов организации при сочетании с условным доступом.

Ключевые возможности безопасности

С помощью этих политик можно управлять следующими областями безопасности:

  • Authentication and identity

    • Сертификаты . Развертывайте сертификаты с помощью профилей SCEP и PKCS или используйте Microsoft Cloud PKI для упрощенного управления облачными сертификатами без локальной инфраструктуры. Настройка производных учетных данных для сценариев смарт-карт.
    • Современная проверка подлинности. Включите Windows Hello для бизнеса для входа без пароля. Настройте единый вход платформы для macOS, чтобы усилить проверку подлинности в приложениях и службах.
    • Многофакторная проверка подлинности. Используйте условный доступ Microsoft Entra, чтобы требовать многофакторную проверку подлинности, и используйте Intune для настройки ПИН-кода устройства и пароля и других параметров, связанных со вхолением.

  • Шифрование данных

  • Обновления программного обеспечения . Управление тем, когда и как устройства получают обновления:

  • Управление приложениями . Используйте политики управления приложениями для бизнеса, чтобы определить, какие приложения могут выполняться на устройствах Windows.

  • Сокращение направлений атак . Развертывание политик ASR для снижения уязвимостей с помощью защиты от эксплойтов, управления устройствами, изоляции приложений и правил ASR.

  • Базовые показатели безопасности. Развертывание предварительно настроенных базовых показателей безопасности для устройств Windows, Microsoft Edge и Microsoft Defender для конечной точки, которые соответствуют рекомендациям группы безопасности Майкрософт.

  • Безопасность сети

    • Профили VPN — настройка VPN-подключений для безопасного удаленного доступа к ресурсам организации.
    • Политики брандмауэра . Управление встроенной защитой брандмауэра на устройствах Windows и macOS.

  • Управление привилегированным доступом

    • Windows LAPS— управление паролями локального администратора с помощью автоматической смены и безопасного резервного копирования в Active Directory или Microsoft Entra.
    • Управление привилегиями на конечных точках. Запуск пользователей в качестве стандартных учетных записей с разрешением повышения прав для утвержденных приложений.

Защита данных с помощью политик защиты приложений

Защита данных организации на уровне приложений с помощью политик защиты приложений с приложениями, управляемыми Intune. Эти меры защиты работают как на зарегистрированных, так и на незарегистрированных устройствах, поддерживая сценарии использования собственного устройства (BYOD).

приложения, управляемые Intune, интегрируют пакет SDK для приложений Intune или используют Intune App Wrapping Tool. Список поддерживаемых приложений см. в разделе Intune защищенных приложений.

Если требуются управляемые приложения (например, с помощью политик условного доступа на основе приложений), пользователи могут получить доступ только к данным организации через эти управляемые приложения, в то время как персональные данные остаются неизменными.

Основные возможности политики защиты приложений:

  • Требовать ПИН-код или биометрическую проверку подлинности для доступа к данным организации.
  • Блокировать копирование и вставку, снимки экрана и передачу данных в неуправляемые приложения.
  • Предотвращение сохранения данных организации в личном хранилище.
  • Принудительное шифрование неактивных данных организации.
  • Удаленная очистка данных организации при потере устройств или уходе пользователей.

Использование действий устройства для защиты устройств и данных

Выполняйте немедленные действия устройства , чтобы реагировать на инциденты безопасности или поддерживать безопасность устройства. В отличие от политик, которые поддерживают текущие конфигурации, действия устройства выполняются один раз при вызове. Действия вступают в силу немедленно для сетевых устройств или в следующий проверка для автономных устройств. Массовые действия устройств могут быть направлены на несколько устройств одновременно.

Общие действия по обеспечению безопасности:

  • Удаленная блокировка — удаленная блокировка устройства, чтобы предотвратить несанкционированный доступ.
  • Очистка — сброс до заводских настроек устройства, удаление всех данных и параметров.
  • Прекращение использования — удаление данных организации с сохранением персональных данных.
  • Смена ключей BitLocker (Windows) — смена ключей шифрования для повышения безопасности.
  • Антивирусная проверка (Windows) — выполнение полной или быстрой проверки вредоносных программ.
  • Обновление аналитики Defender — обновление определений угроз.
  • Отключить блокировку активации (iOS/iPadOS) — снимите блокировку активации для повторного использования устройства.

Эти действия также доступны для устройств, управляемых через Configuration Manager при использовании совместного управления или подключения клиента.

Интеграция с партнерскими технологиями

Расширьте возможности защиты Intune за счет интеграции с технологиями Майкрософт и сторонними партнерами.

Партнеры по соответствию требованиям

Интеграция данных о соответствии устройств из сторонних решений MDM с Microsoft Entra ID. Это позволяет организациям со смешанными средами управления применять унифицированные политики условного доступа на всех устройствах независимо от того, какое решение MDM управляет ими.

Диспетчер конфигураций

Расширение облачных политик безопасности Intune на локальные и гибридные управляемые устройства путем совместного управления или подключения клиента. Эта интеграция обеспечивает единый интерфейс управления для организаций, переходя на управление облаком или поддерживая гибридную инфраструктуру:

  • Совместное управление. Одновременное управление устройствами Windows с помощью Configuration Manager и Intune с помощью ползунков рабочей нагрузки для управления тем, какая служба управляет определенными возможностями.
  • Присоединение клиента— синхронизация устройств Configuration Manager в центр администрирования Microsoft Intune для централизованного мониторинга и управления.

Оба подхода позволяют Intune политики безопасности на Configuration Manager устройствах, включая политики безопасности конечных точек, политики соответствия требованиям, развертывание сертификатов (SCEP/PKCS) и базовые показатели безопасности. Это обеспечивает согласованное состояние безопасности на облачных и локальных управляемых устройствах.

Защита от угроз на мобильных устройствах

Партнеры Mobile Threat Defense (MTD) расширяют возможности обнаружения угроз за пределами встроенных возможностей Майкрософт, проверяя на наличие угроз на уровне устройства, сетевых угроз, угроз на основе приложений и попыток фишинга. Приложения MTD постоянно оценивают риски устройств и сообщают об уровнях угроз для Intune, позволяя принимать решения о доступе на основе рисков с помощью политик соответствия требованиям, политик защиты приложений и условного доступа.

Для зарегистрированных устройств Intune развертывает приложения MTD и управляет ими, используя оценки уровня угроз в оценках соответствия устройств. Устройствам, превышающим допустимые пороговые значения риска, можно заблокировать доступ к ресурсам организации до тех пор, пока угрозы не будут устранены.

Для незарегистрированных устройств в сценариях BYOD уровни угроз MTD информируют о политике защиты приложений, блокируя доступ к данным организации в управляемых приложениях, когда риск устройства слишком высок.

Intune поддерживает Microsoft Defender для конечной точки с расширенными возможностями интеграции и несколькими сторонними партнерами MTD в соответствии с различными требованиями к безопасности.

Microsoft Defender для конечной точки

Microsoft Defender для конечной точки глубоко интегрируется с Intune в Windows, macOS, Linux, Android и iOS/iPadOS, создавая единую платформу безопасности, сочетающую управление устройствами с расширенной защитой от угроз. Эта интеграция обеспечивает:

  • Аналитика угроз и оценка рисков. Непрерывное обнаружение угроз и оценки рисков устройств в Defender напрямую передаются в политики соответствия требованиям Intune и решения условного доступа, обеспечивая динамическое управление доступом на основе рисков.
  • Расширенное управление безопасностью конечных точек. Настройка и развертывание возможностей Defender с помощью политик Intune, включая параметры антивирусной программы, подключение EDR, правила сокращения направлений атак, защиту от незаконного изменения, защиту от веб-приложений и управление устройствами
  • Управление уязвимостями - Задачи безопасности создают рабочий процесс совместной работы, в котором контроль угроз и уязвимостей Defender определяет устройства, подверженные риску, и предоставляет рекомендации по исправлению, с которыми администраторы Intune могут действовать напрямую.
  • Microsoft Tunnel — Defender для конечной точки выступает в качестве VPN-клиента для Microsoft Tunnel на устройствах Android, обеспечивая безопасный удаленный доступ без необходимости отдельного лицензирования Defender

Условный доступ

Условный доступ — это возможность Microsoft Entra, которая служит механизмом принудительного применения политик доступа "Никому не доверяй". Он оценивает сигналы из Intune и других источников для принятия решений о доступе в режиме реального времени, помогая гарантировать, что только доверенные пользователи на совместимых устройствах могут получить доступ к ресурсам организации.

Условный доступ оценивает несколько сигналов:

  • Состояние соответствия устройств из политик Intune
  • Уровни риска устройств от партнеров Microsoft Defender для конечной точки и MTD
  • Риск пользователей и риск входа в систему в Защита Microsoft Entra ID
  • Расположение, платформа устройства и доступ к приложению

Условный доступ с Intune обеспечивает:

  • Политики на основе устройств . Перед доступом к ресурсам организации требуется, чтобы устройства соответствовали требованиям.
  • Политики на основе приложений. Убедитесь, что только приложения, защищенные Intune политиками защиты приложений, могут получать доступ к Microsoft 365 и другим службам.
  • Доступ на основе рисков. Динамически корректируйте требования к доступу на основе аналитики угроз в режиме реального времени от партнеров Defender и MTD.

Условный доступ работает на управляемых и неуправляемых устройствах, помогая создать уровень управления доступом, который адаптируется к изменяющимся условиям угроз.

Добавление Управление привилегиями на конечных точках

Управление привилегиями на конечных точках (EPM) обеспечивает минимальный доступ для пользователей Windows, запуская их в качестве стандартных пользователей, обеспечивая временное повышение прав для утвержденных приложений. Такой подход сокращает область атак, предотвращая полный административный доступ.

Принцип работы EPM:

  • Пользователи по умолчанию запускаются как стандартные учетные записи.
  • Правила повышения прав определяют, какие приложения могут выполняться с повышенными привилегиями.
  • Приложения проверяются с помощью хэшей файлов, сертификатов или других критериев.
  • Распространенные сценарии с повышенными привилегиями: установка приложений, обновления драйверов, Windows диагностика.

Совет

EPM доступен как надстройка Intune для устройств Windows и требует дополнительной лицензии.

Дальнейшие действия

Создайте состояние безопасности с помощью Intune:

  • Last updated on