Steg 4 – Konfigurera enhetsfunktioner och inställningar för att skydda enheter och komma åt resurser

Hittills har du konfigurerat din Intune-prenumeration, skapat appskyddsprinciper och skapat principer för enhetsefterlevnad.

I det här steget är du redo att konfigurera en minsta eller grundläggande uppsättning säkerhets- och enhetsfunktioner som alla enheter måste ha.

Den här artikeln gäller för:

• Android
• iOS/iPadOS
• macOS
• Windows

När du skapar enhetskonfigurationsprofiler finns det olika nivåer och typer av principer tillgängliga. Dessa nivåer är microsofts rekommenderade minimiprinciper. Tänk på att din miljö och dina affärsbehov kan vara olika.

• Nivå 1 – Lägsta enhetskonfiguration: På den här nivån rekommenderar Microsoft att du skapar principer som:

  • Fokusera på enhetssäkerhet, inklusive att installera antivirusprogram, skapa en stark lösenordsprincip och regelbundet installera programuppdateringar.
  • Ge användarna åtkomst till organisationens e-post och kontrollerad säker åtkomst till nätverket, oavsett var de befinner sig.

• Nivå 2 – Förbättrad enhetskonfiguration: På den här nivån rekommenderar Microsoft att du skapar principer som:

  • Utöka enhetssäkerheten, inklusive att konfigurera diskkryptering, aktivera säker start och lägga till fler lösenordsregler.
  • Använd de inbyggda funktionerna och mallarna för att konfigurera fler inställningar som är viktiga för din organisation, inklusive analys av lokala grupprincipobjekt (GPO).

• Nivå 3 – Hög enhetskonfiguration: På den här nivån rekommenderar Microsoft att du skapar principer som:

  • Övergå till lösenordsfri autentisering, inklusive användning av certifikat, konfiguration av enkel inloggning (SSO) till appar, aktivering av multifaktorautentisering (MFA) och konfiguration av Microsoft Tunnel.
  • Lägg till extra säkerhetslager med hjälp av Vanliga villkorsläge för Android eller skapa DFCI-principer för Windows-enheter.
  • Använd de inbyggda funktionerna för att konfigurera kioskenheter, dedikerade enheter, delade enheter och andra specialiserade enheter.
  • Distribuera befintliga gränssnittsskript.

I den här artikeln visas de olika nivåerna för enhetskonfigurationsprinciper som organisationer bör använda. De flesta av dessa principer i den här artikeln fokuserar på åtkomst till organisationens resurser och säkerhet.

Dessa funktioner konfigureras i enhetskonfigurationsprofiler i administrationscentret för Microsoft Intune. När Intune-profilerna är klara kan de tilldelas till dina användare och enheter.

Tips

Ta en rundtur i Intune och administrationscentret för Microsoft Intune.

Nivå 1 – Skapa din säkerhetsbaslinje

För att skydda organisationens data och enheter skapar du olika principer som fokuserar på säkerhet. Du bör skapa en lista över säkerhetsfunktioner som alla användare och/eller alla enheter måste ha. Den här listan är din säkerhetsbaslinje.

I din baslinje rekommenderar Microsoft minst följande säkerhetsprinciper:

• Installera antivirus (AV) och sök regelbundet efter skadlig kod
• Använda identifiering och svar
• Aktivera brandväggen
• Installera programuppdateringar regelbundet
• Skapa en stark PIN-kod/lösenordsprincip

I det här avsnittet visas de Intune- och Microsoft-tjänster som du kan använda för att skapa dessa säkerhetsprinciper.

En mer detaljerad lista över Windows-inställningar och deras rekommenderade värden finns i Säkerhetsbaslinjer för Windows.

Antivirus och genomsökning

✅ Installera antivirusprogram och sök regelbundet efter skadlig kod

Alla enheter bör ha antivirusprogram installerade och regelbundet genomsökas efter skadlig kod. Intune integreras med MTD-tjänster (Mobile Threat Defense) från tredje part som tillhandahåller AV- och hotgenomsökning. För macOS och Windows är antivirus och genomsökning inbyggda i Intune med Microsoft Defender för Endpoint.

Dina principalternativ:

Plattform	Typ av princip
Android enterprise	– Partner för skydd mot mobilhot – Microsoft Defender för Endpoint för Android kan söka efter skadlig kod
iOS/iPadOS	Partner för skydd mot mobilhot
macOS	Antivirusprofil för Intune Endpoint Security (Microsoft Defender för Endpoint)
Windows-klient	– Intune-säkerhetsbaslinjer (rekommenderas) – Antivirusprofil för Intune Endpoint Security (Microsoft Defender för Endpoint) – Partner för skydd mot mobilhot

Mer information om dessa funktioner finns i:

• Android Enterprise:
  • Integrering av skydd mot mobilhot
  • Översikt över Microsoft Defender för Endpoint
• Integrering av mobilhotskydd i iOS/iPadOS
• macOSAntivirus-princip
• Windows:
  • Antivirusprincip
  • Säkerhetsbaslinjer

Identifiering och svar

✅ Identifiera attacker och agera på dessa hot

När du snabbt identifierar hot kan du minimera påverkan av hotet. När du kombinerar dessa principer med villkorsstyrd åtkomst kan du blockera användare och enheter från att komma åt organisationsresurser om ett hot upptäcks.

Dina principalternativ:

Plattform	Typ av princip
Android enterprise	– Partner för skydd mot mobilhot – Microsoft Defender för Endpoint på Android
iOS/iPadOS	– Partner för skydd mot mobilhot – Microsoft Defender för Endpoint på iOS/iPadOS
macOS	Inte tillgängligt
Windows-klient	– Intune-säkerhetsbaslinjer (rekommenderas) – Intune-slutpunktsidentifiering och svarsprofil (Microsoft Defender för Endpoint) – Partner för skydd mot mobilhot

Mer information om dessa funktioner finns i:

• Android Enterprise:
  • Integrering av skydd mot mobilhot med Intune
  • Översikt över Microsoft Defender för Endpoint
• iOS/iPadOS:
  • Integrering av skydd mot mobilhot med Intune
  • Översikt över Microsoft Defender för Endpoint
• Windows:
  • Säkerhetsbaslinjer
  • Princip för slutpunktsidentifiering och svar

Brandvägg

✅ Aktivera brandväggen på alla enheter

Vissa plattformar har en inbyggd brandvägg och på andra kan du behöva installera en brandvägg separat. Intune integreras med MTD-tjänster (Mobile Threat Defense) från tredje part som kan hantera en brandvägg för Android- och iOS/iPadOS-enheter. För macOS och Windows är brandväggssäkerhet inbyggd i Intune med Microsoft Defender för Endpoint.

Dina principalternativ:

Plattform	Typ av princip
Android enterprise	Partner för skydd mot mobilhot
iOS/iPadOS	Partner för skydd mot mobilhot
macOS	Intune Endpoint Security-brandväggsprofil (Microsoft Defender för Endpoint)
Windows-klient	– Intune-säkerhetsbaslinjer (rekommenderas) – Brandväggsprofil för Intune Endpoint Security (Microsoft Defender för Endpoint) – Partner för skydd mot mobilhot

Mer information om dessa funktioner finns i:

• Integrering av Android EnterpriseMobile Threat Defense
• Integrering av mobilhotskydd i iOS/iPadOS
• macOS-brandväggsprincip
• Windows:
  • Säkerhetsbaslinjer
  • Brandväggsprincip

Lösenordsprincip

✅ Skapa en stark lösenords-/PIN-princip och blockera enkla lösenord

PIN-koder låser upp enheter. På enheter som har åtkomst till organisationsdata, inklusive personligt ägda enheter, bör du kräva starka PIN-koder/lösenord och stöd för biometri för att låsa upp enheter. Användning av biometri är en del av en lösenordsfri metod, vilket rekommenderas.

Intune använder profiler för enhetsbegränsningar för att skapa och konfigurera lösenordskrav.

Dina principalternativ:

Plattform	Typ av princip
Android enterprise	Profil för enhetsbegränsningar i Intune för att hantera: – Enhetslösenord – Lösenord för arbetsprofil
Android Open-Source Project (AOSP)	Profil för enhetsbegränsningar i Intune
iOS/iPadOS	Profil för enhetsbegränsningar i Intune
macOS	Profil för enhetsbegränsningar i Intune
Windows-klient	– Säkerhetsbaslinjer för Intune (rekommenderas) – Profil för Enhetsbegränsningar i Intune

En lista över de inställningar som du kan konfigurera finns i:

• Profil för enhetsbegränsningar för Android Enterprise :
  • Företagsägda enheter >Enhetslösenord och Arbetsprofillösenord
  • Personligt ägda enheter med en arbetsprofil Lösenord för arbetsprofil> och lösenord
• Profil för Android AOSP-enhetsbegränsningarEnhetslösenord>
• Profillösenord > för enhetsbegränsningarför iOS/iPadOS
• profil för > macOS-enhetsbegränsningar Lösenord
• Windows:
  • Säkerhetsbaslinjer
  • Profil för klientenhetsbegränsningar – >lösenord
  • Hantera Windows Hello för företag när enheter registreras
  • Hantera Windows Hello för företag efter att enheter har registrerats

Programuppdateringar

✅ Installera programuppdateringar regelbundet

Alla enheter bör uppdateras regelbundet och principer bör skapas för att säkerställa att dessa uppdateringar har installerats. För de flesta plattformar har Intune principinställningar som fokuserar på att hantera och installera uppdateringar.

Dina principalternativ:

Plattform	Typ av princip
Android Enterprise-företagsägda enheter	Inställningar för systemuppdatering med profil för enhetsbegränsningar i Intune
Personligt ägda Android Enterprise-enheter	Inte tillgängligt Kan använda efterlevnadsprinciper för att ange en lägsta korrigeringsnivå, lägsta/högsta operativsystemversion med mera.
iOS/iPadOS	Uppdateringsprincip för Intune
macOS	Uppdateringsprincip för Intune
Windows-klient	– Princip för funktionsuppdateringar i Intune – Intune-princip för snabba uppdateringar

Mer information om dessa funktioner och/eller de inställningar som du kan konfigurera finns i:

• Profil för Android Enterprise-enhetsbegränsningar>– Systemuppdatering
• Principer för programuppdatering i iOS/iPadOS
• macOS-principerför programuppdatering
• Windows:
  • Princip för funktionsuppdateringar
  • Princip för snabba uppdateringar

Nivå 1 – Få åtkomst till organisationens e-post, ansluta till VPN eller Wi-Fi

Det här avsnittet fokuserar på åtkomst till resurser i din organisation. Dessa resurser omfattar:

• E-post för arbets- eller skolkonton
• VPN-anslutning för fjärranslutning
• Wi-Fi anslutning för lokal anslutning

E-post

Många organisationer distribuerar e-postprofiler med förkonfigurerade inställningar till användarenheter.

✅ Anslut automatiskt till användarkonton

Profilen innehåller konfigurationsinställningarna för e-post som ansluter till din e-postserver.

Beroende på vilka inställningar du konfigurerar kan e-postprofilen också automatiskt ansluta användarna till sina enskilda e-postkontoinställningar.

✅ Använda e-postappar på företagsnivå

E-postprofiler i Intune använder vanliga och populära e-postappar, till exempel Outlook. E-postappen distribueras till användarenheter. När appen har distribuerats distribuerar du konfigurationsprofilen för e-postenheten med de inställningar som konfigurerar e-postappen.

Konfigurationsprofilen för e-postenheten innehåller inställningar som ansluter till Exchange.

✅ Få åtkomst till e-post för arbete eller skola

Att skapa en e-postprofil är en gemensam minimibaslinjeprincip för organisationer med användare som använder e-post på sina enheter.

Intune har inbyggda e-postinställningar för Android-, iOS/iPadOS- och Windows-klientenheter. När användarna öppnar sin e-postapp kan de automatiskt ansluta, autentisera och synkronisera organisationens e-postkonton på sina enheter.

✅ Distribuera när som helst

På nya enheter rekommenderar vi att du distribuerar e-postappen under registreringsprocessen. När registreringen är klar distribuerar du konfigurationsprincipen för e-postenheter.

Om du har befintliga enheter distribuerar du e-postappen när som helst och distribuerar konfigurationsprincipen för e-postenheter.

Kom igång med e-postprofiler

Så här kommer du igång:

1. Distribuera en e-postapp till dina enheter. Mer information finns i Lägg till e-postinställningar på enheter med Intune.

2. Skapa en e-postenhetskonfigurationsprofil i Intune. Beroende på vilken e-postapp din organisation använder kanske inte konfigurationsprofilen för e-postenheten.

   Mer information finns i Lägg till e-postinställningar på enheter med Intune.

3. I konfigurationsprofilen för e-postenheten konfigurerar du inställningarna för din plattform:

   • Personligt ägda Android Enterprise-enheter med e-postinställningar för arbetsprofil

     Android Enterprise-enheter som ägs av organisationen använder inte konfigurationsprofiler för e-postenheter.

   • e-postinställningar för iOS/iPadOS

   • Inställningar för Windows-e-post

4. Tilldela konfigurationsprofilen för e-postenheten till dina användare eller användargrupper.

VPN

Många organisationer distribuerar VPN-profiler med förkonfigurerade inställningar till användarenheter. VPN ansluter dina enheter till ditt interna organisationsnätverk.

Om din organisation använder molntjänster med modern autentisering och säkra identiteter behöver du förmodligen ingen VPN-profil. Molnbaserade tjänster kräver ingen VPN-anslutning.

Om dina appar eller tjänster inte är molnbaserade eller inte är molnbaserade distribuerar du en VPN-profil för att ansluta till ditt interna organisationsnätverk.

✅ Arbeta var du än befinner dig

Att skapa en VPN-profil är en gemensam minimibaslinjeprincip för organisationer med distansarbetare och hybridarbetare.

När användarna arbetar var de än befinner sig kan de använda VPN-profilen för att på ett säkert sätt ansluta till organisationens nätverk för att få åtkomst till resurser.

Intune har inbyggda VPN-inställningar för Android-, iOS/iPadOS-, macOS- och Windows-klientenheter. På användarenheter visas VPN-anslutningen som en tillgänglig anslutning. Användarna väljer det. Beroende på inställningarna i VPN-profilen kan användarna dessutom automatiskt autentisera och ansluta till VPN på sina enheter.

✅ Använda VPN-appar på företagsnivå

VPN-profiler i Intune använder vanliga VPN-appar för företag, till exempel Check Point, Cisco, Microsoft Tunnel med mera. VPN-appen distribueras till användarenheter. När appen har distribuerats distribuerar du VPN-anslutningsprofilen med inställningar som konfigurerar VPN-appen.

Konfigurationsprofilen för VPN-enheten innehåller inställningar som ansluter till VPN-servern.

✅ Distribuera när som helst

På nya enheter rekommenderar vi att du distribuerar VPN-appen under registreringsprocessen. När registreringen är klar distribuerar du konfigurationsprincipen för VPN-enheter.

Om du har befintliga enheter distribuerar du VPN-appen när som helst och distribuerar sedan konfigurationsprincipen för VPN-enheter.

Kom igång med VPN-profiler

Så här kommer du igång:

1. Distribuera en VPN-app till dina enheter.

   • En lista över VPN-appar som stöds finns i VPN-anslutningsappar som stöds i Intune.
   • Stegen för att lägga till appar i Intune finns i Lägg till appar i Microsoft Intune.

2. Skapa en VPN-konfigurationsprofil i Intune.

3. Konfigurera inställningarna för din plattform i konfigurationsprofilen för VPN-enheter:

   • VPN-inställningar för Android Enterprise
   • VPN-inställningar för iOS/iPadOS
   • VPN-inställningar för macOS
   • Vpn-inställningar för Windows

4. Tilldela VPN-enhetskonfigurationsprofilen till dina användare eller användargrupper.

Wi-Fi

Många organisationer distribuerar Wi-Fi profiler med förkonfigurerade inställningar till användarenheter. Om din organisation har en personalstyrka som endast är fjärransluten behöver du inte distribuera Wi-Fi anslutningsprofiler. Wi-Fi profiler är valfria och används för lokal anslutning.

✅ Ansluta trådlöst

När användarna arbetar från olika mobila enheter kan de använda Wi-Fi profilen för att trådlöst och säkert ansluta till organisationens nätverk.

Profilen innehåller Wi-Fi konfigurationsinställningar som automatiskt ansluter till nätverket och/eller SSID (tjänstuppsättningsidentifierare). Användarna behöver inte konfigurera sina Wi-Fi inställningar manuellt.

✅ Stöd för mobila enheter lokalt

Att skapa en Wi-Fi profil är en gemensam minimibaslinjeprincip för organisationer med mobila enheter som arbetar lokalt.

Intune har inbyggda Wi-Fi inställningar för Android-, iOS/iPadOS-, macOS- och Windows-klientenheter. På användarenheter visas din Wi-Fi-anslutning som en tillgänglig anslutning. Användarna väljer det. Beroende på inställningarna i din Wi-Fi profil kan användarna dessutom automatiskt autentisera och ansluta till Wi-Fi på sina enheter.

✅ Distribuera när som helst

På nya enheter rekommenderar vi att du distribuerar Wi-Fi enhetskonfigurationsprincip när enheter registreras i Intune.

Om du har befintliga enheter kan du distribuera Wi-Fi enhetskonfigurationsprincipen när som helst.

Kom igång med Wi-Fi profiler

Så här kommer du igång:

1. Skapa en Wi-Fi enhetskonfigurationsprofil i Intune.

2. Konfigurera inställningarna för din plattform:

   • Inställningar för Android Enterprise Wi-Fi
   • Inställningar för iOS/iPadOS Wi-Fi
   • inställningar för macOS Wi-Fi
   • Inställningar för Windows Wi-Fi

3. Tilldela Wi-Fi enhetskonfigurationsprofil till dina användare eller användargrupper.

Nivå 2 – Förbättrat skydd och konfiguration

Den här nivån utökar det du har konfigurerat på nivå 1 och ger mer säkerhet för dina enheter. I det här avsnittet skapar du en nivå 2-uppsättning principer som konfigurerar fler säkerhetsinställningar för dina enheter.

Microsoft rekommenderar följande säkerhetsprinciper på nivå 2:

• Aktivera diskkryptering, säker start och TPM på dina enheter. Dessa funktioner i kombination med en stark PIN-princip eller biometrisk upplåsning rekommenderas på den här nivån.

  Android

  På Android-enheter kan diskkryptering och Samsung Knox vara inbyggda i operativsystemet. Diskkryptering kan aktiveras automatiskt när du konfigurerar inställningarna för låsskärmen. I Intune kan du skapa en princip för enhetsbegränsningar som konfigurerar inställningar för låsskärmen.

  En lista över de inställningar för lösenord och låsskärm som du kan konfigurera finns i följande artiklar:

  • Organisationsägda enheter – Enhetslösenord
  • Organisationsägda enheter – Lösenord för arbetsprofil
  • Personligt ägda enheter – Lösenord för arbetsprofil
  • Personligt ägda enheter – Enhetslösenord

  iOS/iPadOS

  På iOS/iPadOS-enheter är diskkryptering och säker enklaver inbyggda i operativsystemet och aktiveras automatiskt. Det finns inga Intune-inställningar för att konfigurera dessa specifika funktioner.

  Mer specifik information finns i Introduktion till Apples plattformssäkerhet och Säkra enklaver (öppnar Apples webbplats).

  Det finns Intune-principinställningar som fokuserar på lösenordsinställningar och kryptering av säkerhetskopior.

  macOS

  På macOS-enheter kan du konfigurera och använda FileVault-principer i Intune för diskkryptering.

  Secure Enclave är inbyggt i driften och aktiveras automatiskt. Mer specifik information finns i Introduktion till Apples plattformssäkerhet och Säkra enklaver (öppnar Apples webbplats).

  Windows

  På Windows-enheter finns intune-slutpunktsskyddsprinciper som hanterar BitLocker, inklusive TPM och hantera Windows-inställningar, inklusive säker start.

---

• Förfalla lösenord och reglera återanvändning av gamla lösenord. I Nivå 1 skapade du en stark PIN-kod eller lösenordsprincip. Om du inte redan har gjort det måste du konfigurera dina PIN-koder & lösenord så att de upphör att gälla och ange vissa regler för återanvändning av lösenord.

  Du kan använda Intune för att skapa en princip för enhetsbegränsningar eller en inställningskatalogprincip som konfigurerar dessa inställningar. Mer information om de lösenordsinställningar som du kan konfigurera finns i följande artiklar:

  Android

  På Android-enheter kan du använda principer för enhetsbegränsningar för att ange lösenordsregler:

  • Organisationsägda enheter – Inställningar för enhetslösenord
  • Organisationsägda enheter – Lösenordsinställningar för arbetsprofil
  • Personligt ägda enheter – Lösenordsinställningar för arbetsprofil
  • Personligt ägda enheter – Inställningar för enhetslösenord

  iOS/iPadOS

  På iOS/iPadOS-enheter kan du använda principer för enhetsbegränsningar och/eller inställningskatalogen för att ange lösenordsregler:

  • Princip för enhetsbegränsningar > Lösenordsinställningar
  • Inställningskatalog> Söka Passcode

  macOS

  På macOS-enheter kan du använda principer för enhetsbegränsningar och/eller inställningskatalogen för att ange lösenordsregler:

  • Princip för enhetsbegränsningar > Lösenordsinställningar
  • Inställningskatalog> Söka Passcode

  Windows

  På Windows-enheter kan du använda principer för enhetsbegränsningar och/eller inställningskatalogen för att ange lösenordsregler:

  • Princip för enhetsbegränsningar > Lösenordsinställningar
  • Inställningskatalog> Söka Device lock

---

• Intune innehåller hundratals inställningar som kan hantera enheters funktioner och inställningar, som att inaktivera den inbyggda kameran, kontrollera meddelanden, tillåta Bluetooth, blockera spel med mera.

  Du kan använda de inbyggda mallarna eller inställningskatalogen för att se och konfigurera inställningarna.

  • Mallar för enhetsbegränsningar har många inbyggda inställningar som kan styra olika delar av enheterna, inklusive säkerhet, maskinvara, datadelning med mera.

    Du kan använda dessa mallar på följande plattformar:

    • Android
    • iOS/iPadOS
    • macOS
    • Windows

  • Använd inställningskatalogen för att se och konfigurera alla tillgängliga inställningar. Du kan använda inställningskatalogen på följande plattformar:

    • iOS/iPadOS
    • macOS
    • Windows

  • Använd de inbyggda administrativa mallarna, ungefär som att konfigurera ADMX-mallar lokalt. Du kan använda ADMX-mallarna på följande plattform:

    • Windows

• Om du använder lokala grupprincipobjekt och vill veta om samma inställningar är tillgängliga i Intune använder du grupprincipanalys. Den här funktionen analyserar dina grupprincipobjekt och kan, beroende på analysen, importera dem till en katalogprincip för Intune-inställningar.

  Mer information finns i Analysera dina lokala grupprincipobjekt och importera dem i Intune.

Nivå 3 – Hög skydd och konfiguration

Den här nivån utökar det du har konfigurerat i nivå 1 och 2. Den lägger till extra säkerhetsfunktioner som används i organisationer på företagsnivå.

• Utöka lösenordsfri autentisering till andra tjänster som används av personalen. På nivå 1 aktiverade du biometri så att användarna kan logga in på sina enheter med fingeravtryck eller ansiktsigenkänning. På den här nivån expanderar du lösenordslösa till andra delar av organisationen.

  • Använd certifikat för att autentisera e-post, VPN och Wi-Fi anslutningar. Certifikat distribueras till användare och enheter och används sedan av användare för att få åtkomst till resurser i din organisation via e-post, VPN och Wi-Fi anslutningar.

    Mer information om hur du använder certifikat i Intune finns i:

    • Använda PKCS- eller SCEP-certifikat för autentisering
    • Använda härledda autentiseringsuppgifter

  • Konfigurera enkel inloggning (SSO) för en smidigare upplevelse när användare öppnar företagsappar, till exempel Microsoft 365-appar. Användarna loggar in en gång och loggas sedan in automatiskt på alla appar som stöder din SSO-konfiguration.

    Om du vill veta mer om hur du använder enkel inloggning i Intune och Microsoft Entra ID går du till:

    • Android: Aktivera enkel inloggning mellan appar på Android med MSAL i Microsoft Entra-ID
    • iOS/iPadOS, macOS: Använd enterprise SSO-plugin-programmet i Intune och andra MDM:er
    • Windows: Konfigurera enkel inloggning med Microsoft Entra-ID

  • Använd multifaktorautentisering (MFA). När du övergår till lösenordsfri lägger MFA till ett extra säkerhetslager och kan skydda din organisation mot nätfiskeattacker. Du kan använda MFA med autentiseringsappar, till exempel Microsoft Authenticator, eller med ett telefonsamtal eller sms. Du kan också använda MFA när användare registrerar sina enheter i Intune.

    Multifaktorautentisering är en funktion i Microsoft Entra-ID och kan användas med Microsoft Entra-konton. Mer information finns i:

    • Översikt över Microsoft Entra ID Protection
    • Microsoft Entra multifaktorautentisering
    • Kräv multifaktorautentisering för Enhetsregistreringar i Intune

  • Konfigurera Microsoft Tunnel för dina Android- och iOS/iPadOS-enheter. Microsoft Tunnel använder Linux för att ge dessa enheter åtkomst till lokala resurser med modern autentisering och villkorlig åtkomst.

    Microsoft Tunnel använder Intune, Microsoft Entra ID och Active Directory Federation Services (AD FS). Mer information finns i Microsoft Tunnel för Microsoft Intune.

  • Förutom Microsoft Tunnel för enheter som registrerats med Intune kan du använda Microsoft Tunnel for Mobile Application Management (Tunnel för MAM) för att utöka tunnelfunktionerna till Android- och iOS/iPad-enheter som inte har registrerats med Intune. Tunnel för MAM är tillgänglig som ett Intune-tillägg som kräver en extra licens.

    Mer information finns i Använda intune Suite-tilläggsfunktioner.

• Använd principen För lösenordslösning för lokal windowsadministratör (LAPS) för att hantera och säkerhetskopiera det inbyggda lokala administratörskontot på dina Windows-enheter. Eftersom det lokala administratörskontot inte kan tas bort och har fullständig behörighet till enheten är hanteringen av det inbyggda Windows-administratörskontot ett viktigt steg för att skydda din organisation. Intune-principen för Windows LAPS använder de funktioner som är tillgängliga för Windows-enheter som kör version 21h2 eller senare.

  Mer information finns i Intune-stöd för Windows LAPS.

• Använd Microsoft Intune Endpoint Privilege Management (EPM) för att minska attackytan på dina Windows-enheter. Med EPM kan du låta användare som körs som standardanvändare (utan administratörsrättigheter) fortsätta att vara produktiva genom att avgöra när dessa användare kan köra appar i en upphöjd kontext.

  EPM-utökade regler kan baseras på filhashvärden, certifikatregler med mera. De regler som du konfigurerar hjälper till att säkerställa att endast de förväntade och betrodda program som du tillåter kan köras som upphöjda. Regler kan:

  • Hantera de underordnade processer som en app skapar.
  • Supportbegäranden från användare för att höja en hanterad process.
  • Tillåt automatiska utökade filer som bara behöver köras utan användaravbrott.

  Endpoint Privilege Management är tillgängligt som ett Intune-tillägg som kräver en extra licens. Mer information finns i Använda intune Suite-tilläggsfunktioner.

• Använd läget Vanliga kriterier för Android på Android-enheter som används av mycket känsliga organisationer, till exempel myndighetsetableringar.

  Mer information om den här funktionen finns i läget Vanliga kriterier för Android.

• Skapa principer som gäller för skiktet för inbyggd Windows-programvara. Dessa principer kan hjälpa till att förhindra att skadlig kod kommunicerar med Windows OS-processerna.

  Mer information om den här funktionen finns i Använda DFCI-profiler (Device Firmware Configuration Interface) på Windows-enheter.

• Konfigurera kiosker, delade enheter och andra specialiserade enheter:

  Android

  • Android Enterprise:

    • Använda och hantera Android Enterprise-enheter med OEMConfig
    • Dedikerade enheter som körs som enhetsinställningar för helskärmsläge

  • Android-enhetsadministratör

    • Använda och hantera Zebra-enheter med Zebra Mobility Extensions

    • Enhetsinställningar som ska köras som helskärmsläge

      Viktigt

      Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

  iOS/iPadOS

  • iOS/iPadOS
    • Enhetsinställningar som ska köras i autonomt enappsläge (ASAM)
    • Enhetsinställningar som ska köras som helskärmsläge

  Windows

  • Windows

    • Enhetsinställningar som ska köras som en dedikerad helskärmsläge
    • Enhetsinställningar som ska köras som helskärmsläge
    • Delade datorer eller enheter med flera användare

  • Windows Holographic for Business

    • Enhetsinställningar som ska köras som helskärmsläge
    • Enhetsinställningar som ska köras som en dedikerad helskärmsläge

---

• Distribuera shell-skript:

  • macOS: Använda shell-skript
  • Windows: Använda Windows PowerShell-skript

Följ de minsta rekommenderade baslinjeprinciperna

1. Konfigurera Microsoft Intune
2. Lägga till, konfigurera och skydda appar
3. Planera för efterlevnadsprinciper
4. 🡺 Konfigurera enhetsfunktioner (du är här)
5. Registrera enheter