Повышение уровня безопасности с помощью Microsoft Intune

  • 6 мин

Чтобы понять, как повысить общий уровень безопасности организации, важно ознакомиться с определением состояния безопасности и методами, которые можно использовать для его измерения и улучшения. Вы можете измерять развивающееся состояние безопасности от микросхемы к облаку с помощью существующих оценок "Никому не доверяй" и оценки безопасности Майкрософт. В этом модуле мы сосредоточимся на том, как обслуживание и безопасность работают вместе, чтобы постоянно продвигать уровень безопасности "Никому не доверяй" на основе многоуровневой модели безопасности Windows 11 от микросхемы в облако. В частности, мы узнаем, как использовать Microsoft Intune, чтобы упростить этот текущий процесс и сделать больше с меньшим количеством.

Обзор "Никому не доверяй"

Состояние безопасности "Никому не доверяй" состоит из следующих принципов: явно проверять, использовать доступ с минимальными привилегиями и предполагать нарушение. Эти принципы должны отражаться во всех частях среды организации, включая удостоверения, конечные точки, сети, приложения, данные, инфраструктуру, оптимизацию политик, принудительное применение политик и защиту от угроз. Эти компоненты среды примерно соответствуют многоуровневой модели безопасности от микросхемы к облаку, которая обеспечивает "Никому не доверяй".

Обзор многоуровневой модели безопасности между микросхемами и облаком

Модель с подключением микросхемы к облаку представляет собой совместную работу аппаратной и программной безопасности для обеспечения защиты и повышения производительности (см. Windows 11 книгу безопасности). Защита и продуктивность вашей организации — это задача Windows, которая предлагает нам такие средства, как Microsoft Intune, чтобы включить "Никому не доверяй" с момента подключения к облаку.

Архитектура "Никому не доверяй" может быть представлена с помощью слоев, как показано ниже:

На схеме показан Windows 11 уровней безопасности между микросхемами и облаком (на основе Windows 11 книги безопасности).

Помимо многоуровневой модели безопасности от микросхемы в облако для Windows 11, которую мы используем в этом модуле, Windows в качестве операционной системы опирается на безопасную основу:

  • Наступательные исследования

    Корпорация Майкрософт защищает свой жизненный цикл разработки с помощью безопасных процессов, чтобы Windows была защищена с момента ее создания. Важной частью процесса безопасной разработки является сотрудничество с исследователями по всему миру в рамках программы Microsoft Windows Insider Preview bounty.

  • Сертификации

    Продукты Майкрософт извне проверяются на соответствие глобальным нормативным стандартам безопасности продуктов и сертификациям.

  • Безопасная цепочка поставок

    Windows использует сквозную цепочку поставок Windows, которая начинается от проверка разработчиков до таких компонентов, как микросхемы, встроенное ПО, ОС, приложения сторонних производителей, заводское производство, вплоть до обновлений для системы безопасности.

Реализация современного управления устройствами

Мы рекомендуем использовать современное управление устройствами , чтобы настроить устройства вашей организации со всеми приложениями и параметрами, которые необходимы пользователям для безопасного выполнения своей работы. Windows позволяет использовать современные решения по управлению устройствами майкрософт и сторонних разработчиков для управления устройствами. Многие из этих решений совместимы с Microsoft Intune. То, что ранее называлось Microsoft Endpoint Manager, объединяет в себе возможности Microsoft Intune, Configuration Manager, Endpoint Analytics, Autopilot и т. д. для защиты доступа, защиты данных и реагирования на риски на всех устройствах организации. Давайте настроим вас.

Microsoft Intune

Microsoft Intune — это решение для мобильных Управление устройствами (MDM), созданное на основе "Никому не доверяй", которое помогает защитить все конечные точки и постоянно повысить уровень безопасности. Она предоставляет единую платформу управления конечными точками для облачных, локальных и нескольких версий ОС. Это решение является важной стратегией для бизнес-сред всех размеров, которые используют гибридные бизнес-модели, охватывающие физические и виртуальные машины.

Так как обновления для обслуживания Windows всегда будут держать вас в оптимальном направлении модели зрелости "Никому не доверяй", Microsoft Intune поможет вам развернуть и отслеживать их в гибридном пространстве.

Чтобы реализовать современное управление устройствами с помощью Microsoft Intune, давайте присоединим устройства к Microsoft Entra ID и настроим или переместим Microsoft Intune. Затем мы представим способы, с помощью которых вы можете обеспечить безопасность и управление заполнением устройств.

Присоединение или регистрация устройств с помощью Microsoft Entra ID

Microsoft Entra ID — это облачная служба удостоверений. Его можно использовать для управления удостоверениями, каталогами, а также для защиты ресурсов и приложений, к которым пользователи должны получить доступ.

В Windows есть встроенные параметры, которые можно использовать для синхронизации и добавления учетных записей пользователей вашей организации в Microsoft Entra ID. Используйте руководство по развертыванию, чтобы спланировать путь присоединения к устройству Microsoft Entra. Затем используйте детализированные элементы управления безопасностью, которые мы рассмотрим в следующих уроках:

  • Единый вход
  • Многофакторная проверка подлинности
  • Политики условного доступа
  • Защита идентификации
  • Управление удостоверениями
  • управление привилегированными пользователями (PIM);

Таким образом, вы можете обеспечить безопасный доступ, единый вход для приложений и служб, а также управление удостоверениями независимо от того, где пользователи могут работать.

Настройка или перемещение в Microsoft Intune

Используйте руководство по планированию и развертыванию для Microsoft Intune. Если в вашей организации есть лицензия Windows на Enterprise Mobility + Security (EMS) или Microsoft 365, Intune автоматически становится частью вашей службы. Во всех остальных случаях его можно добавить отдельно. Убедитесь, что ваша учетная запись делегирована Intune Администратор привилегий службы.

Существует несколько способов регистрации устройств в Intune, в том числе следующие:

  • Используйте Windows Autopilot для автоматизации Microsoft Entra присоединения и регистрации новых корпоративных устройств в Intune с помощью упрощенного и готового интерфейса.9 Разверните корпоративные компьютеры для удаленных сотрудников, предварительно настроенных с помощью корпоративных политик безопасности. Быстрая настройка и предварительная настройка новых устройств, перепрофилирование устройств и восстановление устройств.
  • Включите автоматическую регистрацию в Microsoft Entra присоединения или автоматической регистрации устройств с Microsoft Entra гибридного соединения.
  • Массовая регистрация большого количества новых корпоративных устройств для Microsoft Entra ID и Intune.
  • Зарегистрируйте существующие управляемые устройства Configuration Manager в совместном управлении Configuration Manager.

В этом модуле мы включим или настроим репрезентативный выбор функций из Windows 11 многоуровневой модели безопасности с помощью микросхемы в облако, чтобы обеспечить безопасность вашей организации. Средства Microsoft Intune применяются к каждому из уровней безопасности, чтобы упростить управление политикой безопасности, поэтому мы рассмотрим улучшение состояния безопасности по одной функции за раз. В то время как мы имеем в виду знакомую структуру "микросхема в облако", созданную в Windows 11 Security Book, в этом модуле мы будем использовать обратный порядок, учитывая, что облачные службы сопоставляются по всем основным принципам "Никому не доверяй", и именно отсюда берется наше решение для управления.

На схеме рабочего процесса показан наш прогресс: мы присоединились к Microsoft Entra ID и зарегистрировались в Microsoft Intune.