Skydda data och enheter med Microsoft Intune
Microsoft Intune kan hjälpa dig att hålla dina hanterade enheter säkra och uppdaterade samtidigt som du kan skydda organisationens data från komprometterade enheter. Dataskydd omfattar kontroll av vad användare gör med en organisations data på både hanterade och ohanterade enheter. Dataskyddet omfattar även blockering av åtkomst till data från enheter som kan ha komprometterats.
Den här artikeln beskriver många av Intune inbyggda funktioner och partnertekniker som du kan integrera med Intune. När du lär dig mer om dem kan du samla flera för mer omfattande lösningar på din resa mot en miljö med noll förtroende.
Från Microsoft Intune administrationscenter stöder Intune hanterade enheter som kör Android, iOS/iPad, Linux, macOS och Windows.
När du använder Configuration Manager för att hantera lokala enheter kan du utöka Intune principer till dessa enheter genom att konfigurera klientanslutning eller samhantering.
Intune kan också arbeta med information från enheter som du hanterar med produkter från tredje part som tillhandahåller enhetsefterlevnad och skydd mot mobilhot.
Skydda enheter via principer
Distribuera Intune principer för slutpunktssäkerhet, enhetskonfiguration och enhetsefterlevnad för att konfigurera enheter så att de uppfyller organisationens säkerhetsmål. Principer stöder en eller flera profiler, som är de diskreta uppsättningar av plattformsspecifika regler som du distribuerar till grupper av registrerade enheter.
Med slutpunktssäkerhetsprinciper distribuerar du säkerhetsfokuserade principer som är utformade för att hjälpa dig att fokusera på säkerheten för dina enheter och minska riskerna. De tillgängliga uppgifterna kan hjälpa dig att identifiera riskenheter, åtgärda dessa enheter och återställa dem till ett kompatibelt eller säkrare tillstånd.
Med enhetskonfigurationsprinciper hanterar du profiler som definierar de inställningar och funktioner som enheter använder i din organisation. Konfigurera enheter för slutpunktsskydd, etablera certifikat för autentisering, ange programuppdateringsbeteenden med mera.
Med principer för enhetsefterlevnad skapar du profiler för olika enhetsplattformar som fastställer enhetskraven. Kraven kan omfatta operativsystemversioner, användning av diskkryptering eller att vara på eller under specifika hotnivåer som definieras av programvara för hothantering.
Intune kan skydda enheter som inte är kompatibla med dina principer och varna enhetsanvändaren så att de kan göra enheten kompatibel.
När du lägger till villkorsstyrd åtkomst i mixen konfigurerar du principer som endast tillåter att kompatibla enheter får åtkomst till nätverket och organisationens resurser. Åtkomstbegränsningar kan omfatta filresurser och företagets e-post. Principer för villkorsstyrd åtkomst fungerar också med enhetstillståndsdata som rapporteras av tredjepartspartner för enhetsefterlevnad som du integrerar med Intune.
Här följer några av de säkerhetsinställningar och uppgifter som du kan hantera via tillgängliga principer:
Autentiseringsmetoder – Konfigurera hur dina enheter autentiseras mot organisationens resurser, e-post och program.
Använd certifikat för autentisering till program, organisationens resurser och för signering och kryptering av e-post med S/MIME. Du kan också konfigurera härledda autentiseringsuppgifter när din miljö kräver användning av smartkort.
Konfigurera inställningar som hjälper till att begränsa risken, till exempel:
- Kräv multifaktorautentisering (MFA) för att lägga till ett extra autentiseringslager för användare.
- Ange krav för PIN-kod och lösenord som måste uppfyllas innan du får åtkomst till resurser.
- Aktivera Windows Hello för företag för Windows-enheter.
Enhetskryptering – Hantera BitLocker på Windows-enheter och FileVault på macOS.
Programuppdateringar – Hantera hur och när enheter får programuppdateringar. Följande stöds:
- Uppdateringar av androids inbyggda programvara :
- INBYGGD PROGRAMVARA (FOTA) – Stöds av vissa OEM-tillverkare, du kan använda FOTA för att fjärruppdatering av inbyggd programvara för enheter.
- Zebra LifeGuard Over-the-Air (LG OTA) – Hantera uppdateringar av inbyggd programvara för Zebra-enheter som stöds via Intune administrationscenter.
- iOS – Hantera versioner av enhetens operativsystem och när enheter söker efter och installerar uppdateringar.
- macOS – Hantera programuppdateringar för macOS-enheter som registrerats som övervakade enheter.
- Windows – Om du vill hantera Windows Update för enheter kan du konfigurera när enheter söker igenom eller installerar uppdateringar, håller en uppsättning hanterade enheter i specifika funktionsversioner och mycket mer.
- Uppdateringar av androids inbyggda programvara :
Säkerhetsbaslinjer – Distribuera säkerhetsbaslinjer för att upprätta en grundläggande säkerhetsstatus på dina Windows-enheter. Säkerhetsbaslinjer är förkonfigurerade grupper av Windows-inställningar som rekommenderas av relevanta produktteam. Du kan använda baslinjer som tillhandahålls eller redigera instanser av dem för att uppfylla dina säkerhetsmål för målgrupper med enheter.
Virtuella privata nätverk (VPN) – Med VPN-profiler tilldelar du VPN-inställningar till enheter så att de enkelt kan ansluta till organisationens nätverk. Intune har stöd för flera VPN-anslutningstyper och appar som innehåller både inbyggda funktioner för vissa plattformar och både vpn-appar från första och tredje part för enheter.
Windows Local Administrator Password Solution (LAPS) – Med Windows LAPS-principen kan du:
- Framtvinga lösenordskrav för lokala administratörskonton
- Säkerhetskopiera ett lokalt administratörskonto från enheter till din Active Directory (AD) eller Microsoft Entra
- Schemalägg rotation av dessa kontolösenord för att skydda dem.
Skydda data via principer
Intune-hanterade appar och Intune appskyddsprinciper kan hjälpa till att stoppa dataläckor och skydda organisationens data. Dessa skydd kan gälla för enheter som har registrerats med Intune och enheter som inte är det.
Intune hanterade appar (eller hanterade appar) är appar som integrerar Intune App SDK eller omsluts av Intune App Wrapping Tool. Dessa appar kan hanteras med hjälp av Intune appskyddsprinciper. En lista över offentligt tillgängliga hanterade appar finns i Intune skyddade appar.
Användare kan använda hanterade appar för att arbeta med både organisationens data och sina egna personuppgifter. Men när appskyddsprinciper kräver användning av en hanterad app är den hanterade appen den enda app som kan användas för att komma åt organisationens data. Appskydd regler gäller inte för en användares personliga data.
Appskydd principer är regler som säkerställer att en organisations data förblir säkra eller finns i en hanterad app. Reglerna identifierar den hanterade app som måste användas och definierar vad som kan göras med data när appen används.
Följande är exempel på skydd och begränsningar som du kan ange med appskyddsprinciper och hanterade appar:
- Konfigurera skydd på appnivå, som att kräva en PIN-kod för att öppna en app i en arbetskontext.
- Kontrollera delning av en organisations data mellan appar på en enhet, till exempel blockera kopiering och inklistring eller skärmdumpar.
- Förhindra att organisationens data sparas på personliga lagringsplatser.
Använda enhetsåtgärder för att skydda enheter och data
Från Microsoft Intune administrationscenter kan du köra enhetsåtgärder som hjälper dig att skydda en vald enhet. Du kan köra en delmängd av dessa åtgärder som massenhetsåtgärder för att påverka flera enheter samtidigt. Och flera fjärråtgärder från Intune kan också användas med samhanterade enheter.
Enhetsåtgärder är inte principer och börjar gälla en gång när de anropas. De gäller antingen omedelbart om enheten är tillgänglig online eller när enheten startar eller checkar in med Intune. Dessa åtgärder betraktas som kompletterande till användningen av principer som konfigurerar och underhåller säkerhetskonfigurationer för en population av enheter.
Följande är exempel på åtgärder som du kan köra för att skydda enheter och data:
Enheter som hanteras av Intune:
- BitLocker-nyckelrotation (endast Windows)
- Inaktivera aktiveringslås (endast Apple-enheter, se hur du inaktiverar aktiveringslås med Apple Business Manager)
- Fullständig eller snabbsökning (endast Windows)
- Fjärrlås
- Dra tillbaka (vilket tar bort organisationens data från enheten samtidigt som personliga data lämnas intakta)
- Uppdatera Microsoft Defender Security Intelligence
- Rensa (fabriksåterställa enheten, ta bort alla data, appar och inställningar)
Enheter som hanteras av Configuration Manager:
- Pensionera
- Rensa
- Synkronisera (tvinga en enhet att omedelbart checka in med Intune för att hitta nya principer eller väntande åtgärder)
Integrera med andra produkter och partnertekniker
Intune stöder integrering med partnerappar från källor från både första och tredje part, som utökar sina inbyggda funktioner. Du kan också integrera Intune med flera Microsoft-tekniker.
Efterlevnadspartner
Lär dig mer om att använda partner för enhetsefterlevnad med Intune. När du hanterar en enhet med en annan partner för hantering av mobila enheter än Intune kan du integrera efterlevnadsdata med Microsoft Entra ID. När de är integrerade kan principer för villkorsstyrd åtkomst använda partnerdata tillsammans med efterlevnadsdata från Intune.
Configuration Manager
Du kan använda många Intune principer och enhetsåtgärder för att skydda de enheter som du hanterar med Configuration Manager. Konfigurera samhantering eller klientanslutning för att stödja dessa enheter. Du kan också använda båda tillsammans med Intune.
Med samhantering kan du samtidigt hantera en Windows-enhet med både Configuration Manager och Intune. Du installerar Configuration Manager-klienten och registrerar enheten till Intune. Enheten kommunicerar med båda tjänsterna.
Med Klientkoppling konfigurerar du synkronisering mellan din Configuration Manager-plats och din Intune klientorganisation. Den här synkroniseringen ger dig en enda vy för alla enheter som du hanterar med Microsoft Intune.
När en anslutning mellan Intune och Configuration Manager har upprättats är enheter från Configuration Manager tillgängliga i Microsoft Intune administrationscenter. Du kan sedan distribuera Intune principer till dessa enheter eller använda enhetsåtgärder för att skydda dem.
Några av de skydd som du kan använda är:
- Distribuera certifikat till enheter med hjälp av Intune SCEP-certifikatprofiler (Simple Certificate Enrollment Protocol) eller privata och offentliga nyckelpar (PKCS).
- Använd efterlevnadsprincip.
- Använd principer för slutpunktssäkerhet, till exempel Antivirus, Slutpunktsidentifiering och svar samt brandväggsregler .
- Tillämpa säkerhetsbaslinjer.
- Hantera Windows Uppdateringar.
Appar för skydd mot mobilhot
MTD-appar (Mobile Threat Defense) söker aktivt igenom och analyserar enheter efter hot. När du integrerar (ansluter) Mobile Threat Defense-appar med Intune får du apputvärderingen av en hotnivå för enheter. Utvärdering av ett enhetshot eller en risknivå är ett viktigt verktyg för att skydda organisationens resurser från komprometterade mobila enheter. Du kan sedan använda den hotnivån i olika principer, till exempel principer för villkorsstyrd åtkomst, för att få åtkomst till dessa resurser.
Använd hotnivådata med principer för enhetsefterlevnad, appskydd och villkorsstyrd åtkomst. Dessa principer använder data för att blockera inkompatibla enheter från att komma åt organisationens resurser.
Med en integrerad MTD-app:
För registrerade enheter:
- Använd Intune för att distribuera och sedan hantera MTD-appen på enheter.
- Distribuera principer för enhetsefterlevnad som använder enheternas rapporterade hotnivå för att utvärdera efterlevnaden.
- Definiera principer för villkorsstyrd åtkomst som beaktar en hotnivå för enheter.
- Definiera appskyddsprinciper för att avgöra när åtkomst till data ska blockeras eller tillåtas, baserat på enhetens hotnivå.
För enheter som inte registreras med Intune men kör en MTD-app som integreras med Intune använder du deras hotnivådata med dina appskyddsprinciper för att blockera åtkomsten till organisationens data.
Intune stöder integrering med:
- Flera MTD-partner från tredje part.
- Microsoft Defender för Endpoint, som har stöd för extra funktioner med Intune.
Microsoft Defender för Endpoint
På egen hand ger Microsoft Defender för Endpoint flera säkerhetsfokuserade fördelar. Microsoft Defender för Endpoint integreras också med Intune och stöds på flera enhetsplattformar. Med integrering får du en app för skydd mot mobilhot och lägger till funktioner i Intune för att skydda data och enheter. Dessa funktioner omfattar:
Stöd för Microsoft Tunnel – På Android-enheter är Microsoft Defender för Endpoint det klientprogram som du använder med Microsoft Tunnel, en VPN-gatewaylösning för Intune. När du används som Microsoft Tunnel-klientapp behöver du ingen prenumeration för Microsoft Defender för Endpoint.
Säkerhetsaktiviteter – Med säkerhetsuppgifter kan Intune administratörer dra nytta av Microsoft Defender för Endpoint Hantering av hot och säkerhetsrisker funktioner. Så här fungerar det:
- Defender för Endpoint-teamet identifierar riskenheter och skapar säkerhetsuppgifter för Intune i Defender för Endpoint Security Center.
- Dessa uppgifter visas i Intune med åtgärdsråd som Intune administratörer kan använda för att minska risken.
- När en uppgift löses i Intune skickas den statusen tillbaka till Defender för Endpoint Security Center där resultatet av åtgärden kan utvärderas.
Slutpunktssäkerhetsprinciper – Följande Intune slutpunktssäkerhetsprinciper kräver integrering med Microsoft Defender för Endpoint. När du använder klientanslutning kan du distribuera dessa principer till enheter som du hanterar med antingen Intune eller Configuration Manager.
Antivirusprincip – Hantera inställningarna för Microsoft Defender Antivirus och Windows-säkerhet på enheter som stöds, till exempel Windows och macOS.
Slutpunktsidentifiering och svarsprincip – Använd den här principen för att konfigurera slutpunktsidentifiering och svar (EDR), vilket är en funktion för Microsoft Defender för Endpoint.
Villkorsstyrd åtkomst
Villkorsstyrd åtkomst är en Microsoft Entra funktion som fungerar med Intune för att skydda enheter. För enheter som registreras med Microsoft Entra ID kan principer för villkorsstyrd åtkomst använda enhetsinformation och efterlevnadsinformation från Intune för att framtvinga åtkomstbeslut för användare och enheter.
Kombinera principen för villkorsstyrd åtkomst med:
Principer för enhetsefterlevnad kan kräva att en enhet markeras som kompatibel innan enheten kan användas för att komma åt organisationens resurser. Principerna för villkorsstyrd åtkomst anger apptjänster som du vill skydda, villkor under vilka appar eller tjänster kan nås och de användare som principen gäller för.
Appskydd principer kan lägga till ett säkerhetslager som endast garanterar att klientappar som stöder Intune appskyddsprinciper kan komma åt dina onlineresurser, till exempel Exchange eller andra Microsoft 365-tjänster.
Villkorsstyrd åtkomst fungerar också med följande för att hjälpa dig att skydda enheter:
- Microsoft Defender för Endpoint och MTD-appar från tredje part
- Partnerappar för enhetsefterlevnad
- Microsoft Tunnel
Lägg till hantering av slutpunktsprivilegier
Med Endpoint Privilege Management (EPM) kan du köra dina Windows-användare som standardanvändare samtidigt som du höjer behörigheterna endast när det behövs, enligt organisationens regler och parametrar som angetts av din organisation. Den här designen stöder tillämpning av åtkomst med lägsta behörighet, en kärnklientorganisation för en Nolltillit säkerhetsarkitektur. Med EPM kan IT-team hantera standardanvändare effektivare och begränsa deras attackyta genom att endast tillåta anställda att köras som administratörer för specifika, godkända program eller uppgifter.
Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av viss Windows-diagnostik.
Genom att distribuera regler för EPM-utökade privilegier som du definierar kan du endast tillåta att de program som du litar på körs i den upphöjda kontexten. Dina regler kan till exempel kräva en filhashmatchning eller förekomsten av ett certifikat för att verifiera filintegriteten innan den körs på en enhet.
Tips
Endpoint Privilege Management är tillgängligt som ett Intune tillägg som kräver ytterligare en licens för att använda och stöder Windows 10 och Windows 11 enheter.
Mer information finns i Endpoint Privilege Management.
Nästa steg
Planera att använda Intune funktioner för att stödja din resa mot en miljö med noll förtroende genom att skydda dina data och skydda enheter. Utöver de tidigare infogade länkarna för att lära dig mer om dessa funktioner kan du lära dig mer om datasäkerhet och delning i Intune.