Настройка Microsoft Intune для "Никому не доверяй: безопасные клиенты" (предварительная версия)

Защита клиента Intune имеет важное значение для применения принципов "Никому не доверяй" и поддержания безопасной и хорошо управляемой среды. Эти рекомендации соответствуют инициативе Майкрософт по обеспечению безопасности в будущем , ограничивая радиус взрыва и обеспечивая доступ с наименьшими привилегиями за счет сегментированного административного контроля, безопасного подключения устройств и защиты на основе политик. Вместе они помогают снизить риски, поддерживать гигиену клиентов и повышать соответствие требованиям на разных платформах.

Рекомендации по безопасности "Никому не доверяй"

Настройка тега области применяется для поддержки делегированного администрирования и доступа с минимальными привилегиями.

Если Intune область теги неправильно настроены для делегированного администрирования, злоумышленники, которые получают привилегированный доступ к Intune или Microsoft Entra ID, могут повысить привилегии и получить доступ к конфигурациям конфиденциальных устройств в клиенте. Без детального область тегов административные границы неясны, что позволяет злоумышленникам перемещаться в боковом режиме, управлять политиками устройств, удалять данные конфигурации или развертывать вредоносные параметры для всех пользователей и устройств. Одна скомпрометированная учетная запись администратора может повлиять на всю среду. Отсутствие делегированного административного управления также подрывает доступ с наименьшими привилегиями, что затрудняет сдерживание нарушений и обеспечение подотчетности. Злоумышленники могут использовать роли глобального администратора или неправильно настроенные назначения управления доступом на основе ролей (RBAC), чтобы обойти политики соответствия требованиям и получить широкий контроль над управлением устройствами.

Применение тегов область сегментирует административный доступ и сопоставляет его с организационными границами. Это ограничивает радиус действия скомпрометированных учетных записей, поддерживает доступ с минимальными привилегиями и соответствует принципам "Никому не доверяй", таким как сегментация, управление на основе ролей и сдерживание.

Действие по исправлению

Используйте теги Intune область и роли RBAC, чтобы ограничить доступ администратора по ролям, географическим регионам или подразделениям:

• Узнайте, как создавать и развертывать теги область для распределенных ИТ-служб.
• Реализация управления доступом на основе ролей с помощью Microsoft Intune

Уведомления о регистрации устройств применяются для обеспечения осведомленности пользователей и безопасного подключения.

Без уведомлений о регистрации устройств пользователи могут не знать, что их устройство зарегистрировано в Intune, особенно в случаях несанкционированной или неожиданной регистрации. Такое отсутствие видимости может задержать информирование пользователей о подозрительных действиях и увеличить риск получения доступа к корпоративным ресурсам неуправляемых или скомпрометированных устройств. Злоумышленники, которые получают учетные данные пользователя или используют потоки самостоятельной регистрации, могут автоматически подключить устройства, минуя проверку пользователей и обеспечивая возможность раскрытия данных или бокового перемещения.

Уведомления о регистрации предоставляют пользователям улучшенный обзор действий по подключению устройств. Они помогают обнаруживать несанкционированную регистрацию, укрепляют безопасные методы подготовки и поддерживают принципы "Никому не доверяй", обеспечивающие видимость, проверку и вовлеченность пользователей.

Действие по исправлению

Настройте уведомления о регистрации Intune, чтобы оповещать пользователей о регистрации устройства и усиливать методы безопасного подключения:

• Настройка уведомлений о регистрации в Intune

Автоматическая регистрация устройств Windows применяется для устранения рисков, связанных с неуправляемых конечных точек

Если автоматическая регистрация Windows не включена, неуправляемые устройства могут стать точкой входа для злоумышленников. Субъекты угроз могут использовать эти устройства для доступа к корпоративным данным, обхода политик соответствия требованиям и внедрения уязвимостей в среде. Устройства, присоединенные к Microsoft Entra без регистрации Intune, создают пробелы в видимости и контроле. Эти неуправляемые конечные точки могут выявить слабые места в операционной системе или неправильно настроенных приложениях, которыми могут воспользоваться злоумышленники.

Применение автоматической регистрации гарантирует, что устройства Windows управляются с самого начала, обеспечивая согласованное применение политики и видимость соответствия требованиям. Это обеспечивает поддержку "Никому не доверяй", гарантируя, что все устройства проверяются, отслеживаются и управляются элементами управления безопасностью.

Действие по исправлению

Включите автоматическую регистрацию для устройств Windows с помощью Intune и Microsoft Entra, чтобы обеспечить управление всеми присоединенными к домену или Entra устройствами:

• Включение автоматической регистрации Windows

Дополнительные сведения см. в разделе:

• Руководство по развертыванию — регистрация для Windows

Политики соответствия требованиям защищают устройства Windows

Если политики соответствия для устройств Windows не настроены и не назначены, субъекты угроз могут использовать неуправляемые или несоответствующие конечные точки для получения несанкционированного доступа к корпоративным ресурсам, обхода элементов управления безопасностью и сохранения в среде. Без принудительного соответствия устройствам могут отсутствию критических конфигураций безопасности, таких как шифрование BitLocker, требования к паролю, параметры брандмауэра и элементы управления версиями ОС. Эти пробелы повышают риск утечки данных, повышения привилегий и бокового перемещения. Несогласованное соответствие устройств ослабляет состояние безопасности организации и затрудняет обнаружение и устранение угроз, прежде чем произойдет значительный ущерб.

Применение политик соответствия гарантирует, что устройства Windows соответствуют основным требованиям безопасности и поддерживают "Никому не доверяй", проверяя работоспособность устройств и уменьшая риск неправильно настроенных конечных точек.

Действие по исправлению

Создание и назначение политик соответствия Intune устройствам Windows для применения стандартов организации для безопасного доступа и управления.

• Создание и назначение политик соответствия Intune
• Просмотрите параметры соответствия Windows, которыми можно управлять с помощью Intune

Политики соответствия требованиям защищают устройства macOS

Если политики соответствия для устройств macOS не настроены и не назначены, субъекты угроз могут использовать неуправляемые или несоответствующие конечные точки для получения несанкционированного доступа к корпоративным ресурсам, обхода элементов управления безопасностью и сохранения в среде. Без принудительного соответствия требованиям устройства macOS могут отсутствию критически важных конфигураций безопасности, таких как шифрование хранилища данных, требования к паролям и элементы управления версиями ОС. Эти пробелы повышают риск утечки данных, повышения привилегий и бокового перемещения. Несогласованное соответствие устройств ослабляет состояние безопасности организации и затрудняет обнаружение и устранение угроз, прежде чем произойдет значительный ущерб.

Применение политик соответствия гарантирует, что устройства macOS соответствуют основным требованиям безопасности и поддерживают "Никому не доверяй", проверяя работоспособность устройства и уменьшая риск неправильно настроенных конечных точек.

Действия по исправлению

Создание и назначение Intune политик соответствия требованиям устройствам macOS для применения стандартов организации для безопасного доступа и управления.

• Создание и назначение политик соответствия Intune
• Просмотрите параметры соответствия macOS, которыми можно управлять с помощью Intune

Политики соответствия требованиям защищают полностью управляемые и корпоративные устройства Android

Если политики соответствия требованиям не назначены полностью управляемым устройствам Android Enterprise в Intune, субъекты угроз могут использовать несоответствующие конечные точки для получения несанкционированного доступа к корпоративным ресурсам, обхода элементов управления безопасностью и сохранения в среде. Без принудительного соответствия устройствам могут отсутствию критических конфигураций безопасности, таких как требования к секретному коду, шифрование хранилища данных и управление версиями ОС. Эти пробелы повышают риск утечки данных, повышения привилегий и бокового перемещения. Несогласованное соответствие устройств ослабляет состояние безопасности организации и затрудняет обнаружение и устранение угроз, прежде чем произойдет значительный ущерб.

Применение политик соответствия гарантирует, что устройства Android Enterprise соответствуют основным требованиям безопасности и поддерживают "Никому не доверяй", проверяя работоспособность устройства и уменьшая риск неправильно настроенных или неуправляемых конечных точек.

Действие по исправлению

Создайте и назначьте политики соответствия требованиям Intune полностью управляемым и корпоративным устройствам Android Enterprise, чтобы обеспечить соблюдение стандартов организации для безопасного доступа и управления.

• Создание политики соответствия требованиям в Microsoft Intune
• Ознакомьтесь с параметрами соответствия android enterprise, которыми можно управлять с помощью Intune

Политики соответствия требованиям защищают личные устройства Android

Если политики соответствия требованиям не назначаются личным устройствам Android Enterprise в Intune, субъекты угроз могут использовать несоответствующие конечные точки для получения несанкционированного доступа к корпоративным ресурсам, обхода средств управления безопасностью и внедрения уязвимостей. Без принудительного соответствия устройствам могут отсутствию критических конфигураций безопасности, таких как требования к секретному коду, шифрование хранилища данных и элементы управления версиями ОС. Эти пробелы повышают риск утечки данных и несанкционированного доступа. Несогласованное соответствие устройств ослабляет состояние безопасности организации и затрудняет обнаружение и устранение угроз, прежде чем произойдет значительный ущерб.

Применение политик соответствия гарантирует, что личные устройства Android соответствуют основным требованиям безопасности и поддерживают "Никому не доверяй", проверяя работоспособность устройств и уменьшая риск неправильно настроенных или неуправляемых конечных точек.

Действие по исправлению

Создание и назначение политик соответствия Intune личным устройствам Android Enterprise для применения стандартов организации для безопасного доступа и управления.

• Создание политики соответствия требованиям в Microsoft Intune
• Ознакомьтесь с параметрами соответствия android enterprise, которыми можно управлять с помощью Intune

Политики соответствия требованиям защищают устройства iOS/iPadOS

Если политики соответствия требованиям не назначены устройствам iOS/iPadOS в Intune, субъекты угроз могут использовать несоответствующие конечные точки для получения несанкционированного доступа к корпоративным ресурсам, обхода элементов управления безопасностью и сохранения в среде. Без принудительного соответствия устройствам могут отсутствию критических конфигураций безопасности, таких как требования к секретному коду и элементы управления версиями ОС. Эти пробелы повышают риск утечки данных, повышения привилегий и бокового перемещения. Несогласованное соответствие устройств ослабляет состояние безопасности организации и затрудняет обнаружение и устранение угроз, прежде чем произойдет значительный ущерб.

Применение политик соответствия гарантирует, что устройства iOS/iPadOS соответствуют основным требованиям безопасности и поддерживают "Никому не доверяй", проверяя работоспособность устройства и уменьшая риск неправильно настроенных или неуправляемых конечных точек.

Действие по исправлению

Создание и назначение политик соответствия Intune устройствам iOS/iPadOS для применения стандартов организации для безопасного доступа и управления.

• Создание политики соответствия требованиям в Microsoft Intune
• Просмотрите параметры соответствия iOS/iPadOS, которыми можно управлять с помощью Intune

Единый вход платформы настроен для усиления проверки подлинности на устройствах macOS.

Если политики единого входа платформы не применяются на устройствах macOS, конечные точки могут полагаться на небезопасные или несогласованные механизмы проверки подлинности, что позволяет злоумышленникам обходить политики условного доступа и соответствия требованиям. Это открывает дверь для бокового перемещения между облачными службами и локальными ресурсами, особенно при использовании федеративных удостоверений. Субъекты угроз могут сохраняться, используя украденные маркеры или кэшированные учетные данные и эксфильтруя конфиденциальные данные с помощью неуправляемых приложений или сеансов браузера. Отсутствие применения единого входа также подрывает политики защиты приложений и оценки состояния устройств, что затрудняет обнаружение и сдерживание нарушений. В конечном итоге сбой настройки и назначения политик единого входа платформы macOS скомпрометирует безопасность удостоверений и ослабляет состояние "Никому не доверяй" организации.

Применение политик единого входа платформы на устройствах macOS обеспечивает согласованную и безопасную проверку подлинности в приложениях и службах. Это повышает защиту удостоверений, поддерживает принудительное применение условного доступа и обеспечивает соответствие требованиям "Никому не доверяй", уменьшая зависимость от локальных учетных данных и улучшая оценку состояния.

Действие по исправлению

Использование Intune для настройки и назначения политик единого входа платформы для устройств macOS для обеспечения безопасной проверки подлинности и усиления защиты идентификации см. в следующих разделах:

• Настройка единого входа платформы для macOS в Intune . Пошаговое руководство по включению единого входа платформы на устройствах macOS.
• Общие сведения о едином входе и параметры для устройств Apple в Microsoft Intune — обзор вариантов единого входа, доступных для платформ Apple.

Автоматическая регистрация Defender для конечной точки применяется для снижения риска неуправляемых угроз Android

Если автоматическая регистрация в Microsoft Defender для конечной точки не настроена для устройств Android в Intune, управляемые конечные точки могут оставаться незащищенными от угроз для мобильных устройств. Без подключения Defender устройства не имеют расширенных возможностей обнаружения угроз и реагирования на нее, что повышает риск вредоносных программ, фишинга и других мобильных атак. Незащищенные устройства могут обходить политики безопасности, получать доступ к корпоративным ресурсам и подвергать конфиденциальные данные компрометации. Этот разрыв в защите от угроз на мобильных устройствах ослабляет состояние "Никому не доверяй" организации и снижает видимость работоспособности конечных точек.

Включение автоматической регистрации в Defender обеспечивает защиту устройств Android с помощью расширенных возможностей обнаружения угроз и реагирования на них. Это поддерживает "Никому не доверяй", применяя защиту от мобильных угроз, улучшая видимость и уменьшая уязвимость к неуправляемой или скомпрометированных конечных точек.

Действие по исправлению

Используйте Intune, чтобы настроить автоматическую регистрацию в Microsoft Defender для конечной точки для устройств Android, чтобы обеспечить защиту от мобильных устройств:

• Интеграция Microsoft Defender для конечной точки с Intune и подключенными устройствами

Правила очистки устройств поддерживают гигиену клиента, скрывая неактивные устройства

Если правила очистки устройств не настроены в Intune, устаревшие или неактивные устройства могут оставаться видимыми в клиенте на неопределенный срок. Это приводит к загроможденности списков устройств, неточным отчетам и снижению видимости активного ландшафта устройств. Неиспользуемые устройства могут сохранять учетные данные или маркеры доступа, что повышает риск несанкционированного доступа или неправильного принятия решений политики.

Правила очистки устройств автоматически скрывают неактивные устройства от административных представлений и отчетов, что улучшает гигиену клиента и снижает административную нагрузку. Это поддерживает "Никому не доверяй", поддерживая точный и надежный инвентаризацию устройств, сохраняя исторические данные для аудита или исследования.

Действие по исправлению

Настройте Intune правила очистки устройств, чтобы автоматически скрывать неактивные устройства от клиента:

• Создание правила очистки устройства

Дополнительные сведения см. в разделе:

• Использование Intune правил очистки устройствв блоге Microsoft Tech Community

Политики условий защищают доступ к конфиденциальные данные

Если политики условий не настроены и не назначены в Intune, пользователи могут получить доступ к корпоративным ресурсам, не соглашаясь с необходимыми юридическими условиями, условиями безопасности или использования. Это упущение подвергает организацию рискам соответствия требованиям, юридическим обязательствам и потенциальному неправильному использованию ресурсов.

Применение условий гарантирует, что пользователи признают и принимают политики компании перед доступом к конфиденциальные данные или системам, поддерживая соответствие нормативным требованиям и ответственное использование ресурсов.

Действие по исправлению

Создайте и назначьте политики условий в Intune, чтобы требовать принятия пользователем перед предоставлением доступа к корпоративным ресурсам:

• Создание политики условий

Корпоративный портал настройки фирменной символики и поддержки повышают удобство взаимодействия с пользователем и доверие

Если Корпоративный портал Intune фирменная символика не настроена для представления сведений о вашей организации, пользователи могут столкнуться с универсальным интерфейсом и отсутствию прямой информации о поддержке. Это снижает доверие пользователей, увеличивает затраты на поддержку и может привести к путанице или задержкам в решении проблем.

Настройка Корпоративный портал с помощью фирменной символики и контактных данных поддержки вашей организации повышает доверие пользователей, упрощает поддержку и укрепляет легитимность связи управления устройствами.

Действие по исправлению

Настройте Корпоративный портал Intune с помощью фирменной символики и контактной информации поддержки вашей организации, чтобы улучшить взаимодействие с пользователем и уменьшить затраты на поддержку:

• Настройка Корпоративный портал Intune

Аналитика конечных точек включена для выявления рисков на устройствах Windows

Если аналитика конечных точек не включена, субъекты угроз могут использовать пробелы в работоспособности, производительности и состоянии безопасности устройств. Без аналитики конечных точек видимости организации может быть трудно обнаружить такие индикаторы, как аномальное поведение устройства, отложенное исправление или смещение конфигурации. Эти пробелы позволяют злоумышленникам устанавливать сохраняемость, эскалацию привилегий и боковое перемещение по среде. Отсутствие аналитических данных может препятствовать быстрому обнаружению и реагированию, позволяя злоумышленникам использовать неуправляемые конечные точки для выполнения команд и контроля, кражи данных или дальнейшего компрометации.

Включение аналитики конечных точек обеспечивает представление о работоспособности и поведении устройств, помогая организациям обнаруживать риски, быстро реагировать на угрозы и поддерживать высокий уровень "Никому не доверяй".

Действие по исправлению

Регистрация устройств Windows в аналитике конечных точек в Intune для мониторинга работоспособности устройств и выявления рисков:

• Настройка аналитики конечных точек

Дополнительные сведения см. в разделе:

• Что такое аналитика конечных точек?

Связанные материалы

• Руководство по развертыванию для Microsoft Intune
• Защита данных и устройств с помощью Microsoft Intune
• Настройка Microsoft Entra для повышения безопасности (предварительная версия)