Настройка Microsoft Intune для повышения безопасности (предварительная версия)

Рекомендации по безопасности, приведенные в этом документе, помогут вам улучшить состояние безопасности организации с помощью Microsoft Intune. На эти рекомендации влияют принятые отраслевые стандарты, такие как разработанные NIST, базовые показатели конфигурации, которые мы используем в корпорации Майкрософт, а также наш опыт взаимодействия с клиентами. Рекомендации в этой статье для Intune сосредоточены на устройствах, но руководствуются следующими основными аспектами Инициативы Microsoft Secure Future:

• Защита удостоверений и секретов
• Защита клиентов и изоляция производственных систем
• Защита сетей
• Защита инженерных систем
• Мониторинг и обнаружение киберугроз
• Ускорение реагирования и исправления

Совет

Некоторые организации могут принимать эти рекомендации точно так, как написано, в то время как другие могут внести изменения в зависимости от собственных бизнес-потребностей.

Мы рекомендуем реализовать все перечисленные ниже элементы управления там, где доступны лицензии. Эти шаблоны и методики помогают обеспечить безопасную основу для других ресурсов, созданных на основе этого решения. Со временем в этот документ будут добавлены дополнительные элементы управления.

Путем автоматизированной оценки

Проверка этого руководства вручную на соответствие конфигурации клиента может занять много времени и привести к ошибкам. Оценка "Никому не доверяй" преобразует этот процесс с помощью автоматизации для тестирования этих элементов конфигурации безопасности и многого другого. Дополнительные сведения см. в статье Что такое оценка "Никому не доверяй"?

Безопасный клиент

Обеспечьте согласованность управления, удостоверений и конфигураций на уровне клиента.

Проверка	Минимальные требования к лицензии
Настройка тега области применяется для поддержки делегированного администрирования и доступа с минимальными привилегиями.	Microsoft Intune (план 1)
Уведомления о регистрации устройств применяются для обеспечения осведомленности пользователей и безопасного подключения.	Microsoft Intune (план 1)
Автоматическая регистрация устройств Windows применяется для устранения рисков, связанных с неуправляемых конечных точек	Microsoft Intune (план 1) Microsoft Entra ID P1 (для условного доступа)
Политики соответствия требованиям защищают устройства Windows	Microsoft Intune (план 1)
Политики соответствия требованиям защищают устройства macOS	Microsoft Intune (план 1)
Политики соответствия требованиям защищают полностью управляемые и корпоративные устройства Android	Microsoft Intune (план 1)
Политики соответствия требованиям защищают личные устройства Android	Microsoft Intune (план 1)
Политики соответствия требованиям защищают устройства iOS/iPadOS	Microsoft Intune (план 1)
Единый вход платформы настроен для усиления проверки подлинности на устройствах macOS.	Microsoft Intune (план 1) Microsoft Entra ID P1 (для условного доступа)
Автоматическая регистрация Defender для конечной точки применяется для снижения риска неуправляемых угроз Android	Microsoft Intune (план 1) Defender для конечной точки (план 1)
Правила очистки устройств поддерживают гигиену клиента, скрывая неактивные устройства	Microsoft Intune (план 1)
Политики условий защищают доступ к конфиденциальные данные	Microsoft Intune (план 1)
Корпоративный портал настройки фирменной символики и поддержки повышают удобство взаимодействия с пользователем и доверие	Microsoft Intune (план 1)
Аналитика конечных точек включена для выявления рисков на устройствах Windows	Microsoft Intune (план 1)

Сведения о лицензии см. в разделе:

• Лицензирование Microsoft Intune
• лицензирование Microsoft Entra
• Общие сведения о Microsoft Defender для конечной точки плане 1

Защита устройств

Защита конечных точек с помощью конфигурации устройств и политик безопасности.

Проверка	Минимальные требования к лицензии
Учетные данные локального администратора в Windows защищены с помощью Windows LAPS	План Microsoft Intune
Учетные данные локального администратора в macOS защищены во время регистрации с помощью macOS LAPS	Microsoft Intune (план 1)
Использование локальной учетной записи в Windows ограничено для сокращения несанкционированного доступа	Microsoft Intune (план 1)
Данные в Windows защищены с помощью шифрования BitLocker	Microsoft Intune (план 1)
Шифрование FileVault защищает данные на устройствах macOS	Microsoft Intune (план 1)
Проверка подлинности в Windows использует Windows Hello для бизнеса	Microsoft Intune (план 1)
Правила сокращения направлений атаки применяются к устройствам Windows, чтобы предотвратить эксплуатацию уязвимых системных компонентов	Microsoft Intune (план 1) Defender для конечной точки (план 1)
политики антивирусная программа Defender защищают устройства Windows от вредоносных программ	Microsoft Intune (план 1) Defender для конечной точки (план 1)
политики антивирусная программа Defender защищают устройства macOS от вредоносных программ	Microsoft Intune (план 1) Defender для конечной точки (план 1)
Политики брандмауэра Windows защищают от несанкционированного доступа к сети	Microsoft Intune (план 1)
Политики брандмауэра macOS защищают от несанкционированного доступа к сети	Microsoft Intune (план 1)
клиентский компонент Центра обновления Windows политики применяются для снижения риска уязвимостей без исправления	Microsoft Intune (план 1)
Базовые показатели безопасности применяются к устройствам Windows для повышения уровня безопасности	Microsoft Intune (план 1)
Политики обновления для macOS применяются для снижения риска уязвимостей без исправления.	Microsoft Intune (план 1)
Политики обновлений для iOS/iPadOS применяются для снижения риска не исправленных уязвимостей.	Microsoft Intune (план 1)

Сведения о лицензии см. в разделе:

• Лицензирование Microsoft Intune
• Общие сведения о Microsoft Defender для конечной точки плане 1

Защита данных

Защита данных на устройствах и при передаче, а также обеспечение безопасного доступа к данным организации.

Проверка	Минимальные требования к лицензии
Данные в Android защищены политиками защиты приложений	Microsoft Intune (план 1)
Данные в iOS/iPadOS защищены политиками защиты приложений	Microsoft Intune (план 1)
Политики условного доступа блокируют доступ из неуправляемых приложений	Microsoft Intune (план 1) Microsoft Entra ID P1 (для условного доступа)
Политики условного доступа блокируют доступ с несоответствующих устройств	Microsoft Intune (план 1) Microsoft Entra ID P1 (для условного доступа)
Профили защиты Wi-Fi защищают устройства iOS от несанкционированного доступа к сети	Microsoft Intune (план 1)
Профили защиты Wi-Fi защищают устройства macOS от несанкционированного доступа к сети	Microsoft Intune (план 1)
Безопасные профили Wi-Fi защищают устройства Android от несанкционированного доступа к сети	Microsoft Intune (план 1)

Сведения о лицензии см. в разделе:

• Лицензирование Microsoft Intune
• лицензирование Microsoft Entra

Связанные материалы

• Подход к развертыванию "Никому не доверяй" с Microsoft Intune
• Руководство по развертыванию для Microsoft Intune
• Защита данных и устройств с помощью Microsoft Intune
• Настройка Microsoft Entra для повышения безопасности (предварительная версия)