Начните с облачной безопасности
В настоящее время организации больше полагаются на облачные службы и обслуживание, чтобы пользователи могли выполнять свою работу и создавать гибридную совместную работу. По мере синхронизации документов и данных с облаком, а приложения и виртуальные устройства полностью выполняются в облаке, управление безопасностью вашей среды становится все более сложным. Это представляет новые типы уязвимостей и угроз, таких как кража учетных данных через удаленные подключения. Но вы можете настроить устройства Windows вашей организации для работы с облачными службами Майкрософт, такими как Microsoft Intune, для защиты конечных точек, инфраструктуры и сетей. Это проиллюстрирует подход "Никому не доверяй" к защите данных при управлении доступом и устранении угроз.
Давайте посмотрим, как можно реализовать современное управление устройствами с помощью Microsoft Intune и применить его к выбору функций, выполняемых в облаке. В этом модуле мы рассмотрим большую часть состояния безопасности с помощью базовых показателей безопасности или каталога параметров в Intune.
Начало работы с базовыми показателями безопасности в Intune
Базовые показатели безопасности — это рекомендуемая коллекция параметров конфигурации, которая также содержит сведения об их влиянии на безопасность. Базовые показатели безопасности Microsoft MDM можно использовать для настройки политик следующим образом:
- Ограничение использования устаревших технологий
- Ограничение удаленного доступа к устройствам
- Установка требований к учетным данным для паролей и ПИН-кодов
Используйте Intune для развертывания базовых показателей безопасности, чтобы настроить устройства Windows в соответствии со стандартом безопасности вашей организации или требуемым уровнем "Никому не доверяй". Для начала разверните следующие базовые показатели безопасности и администрирование для настройки устройств Windows:
Для управления профилями базовых показателей безопасности в Intune учетная запись должна иметь встроенную роль диспетчера политик и профилей, которая позволяет управлять политикой соответствия, профилями конфигурации и базовыми показателями безопасности. В этой роли Intune позволяет создать профиль, изменить, дублировать или удалить базовый план безопасности, а также узнать, что делать с более старыми базовыми версиями или совместно управляемыми устройствами. Используйте базовые показатели групповой политики для локальных контроллеров домена.
Начало работы с каталогом параметров в Intune
Каталог параметров в Intune — это список всех параметров, которые можно настроить в одном месте. Используйте это решение для управления мобильными устройствами (MDM), чтобы упростить создание политики и настройку параметров на уровне, аналогичном локальному объекту групповая политика объект (GPO).
Чтобы создать политику в Центре администрирования Microsoft Endpoint Manager, выберитеПрофили> конфигурации устройств>Create профиль. В свойствах введите операционную систему для параметра Платформа и "Каталог параметров" в поле Профиль.
После подтверждения создания политики и ввода ее основ используйте параметры конфигурации , чтобы добавить параметры из средства выбора параметров.
Ознакомьтесь с Create политики с помощью каталога параметров в Microsoft Intune, чтобы подготовиться к применению этого метода в следующих уроках. На этом этапе полезно узнать о различных способах просмотра тысяч доступных вам параметров:
- Использование Поиск добавления параметров >
- Поиск по категориям (например, браузер)
- Поиск ключевое слово (например, Office)
- Поиск для определенных параметров
Дополнительные облачные защиты
Ниже приведены некоторые полезные облачные современные службы управления устройствами и возможности, которые можно использовать для защиты среды и улучшения состояния безопасности.
Удаленная очистка
Настройте удаленную очистку с помощью современного управления устройствами через Microsoft Intune для удаленной очистки данных на устройствах в случае их потери или кражи.
Блокировка конфигурации
Блокировка конфигурации — это функция, которую можно включить на компьютерах с защищенными ядрами , которая позволяет защитить операционную систему, блокируя изменение конфигураций пользователями, что может со временем создавать смещение конфигурации.
Служба Microsoft Аттестация Azure
Кроме того, рекомендуется использовать службу Microsoft Аттестация Azure для комплексной проверки работоспособности устройств в вашей организации и мониторинга надежности устройств. Дополнительные сведения о его приложениях см. в разделе по безопасности операционной системы.
