Steg 5: Distribuera enhetsprofiler i Microsoft Intune
Microsoft Intune innehåller inställningar och funktioner som du kan aktivera eller inaktivera på olika enheter i organisationen. De här inställningarna och funktionerna läggs till i "konfigurationsprofiler". Du kan skapa profiler för olika enheter och olika plattformar, inklusive iOS/iPadOS, Android-enhetsadministratör, Android Enterprise och Windows. Använd sedan Intune för att tillämpa eller tilldela profilen till enheterna.
Den här artikeln innehåller vägledning om hur du kommer igång med konfigurationsprofiler.
Med konfigurationsprofiler kan du konfigurera viktigt skydd och anpassa enheterna så de kan komma åt dina resurser. Tidigare konfigurerades den här typen av konfigurationsändringar med hjälp av grupprincipinställningar i Active Directory Domain Services. En modern säkerhetsstrategi omfattar att flytta säkerhetskontroller till molnet där tillämpningen av dessa kontroller inte är beroende av lokala resurser och åtkomst. Intune-konfigurationsprofiler är ett sätt att överföra dessa säkerhetskontroller till molnet.
Information om vilken typ av konfigurationsprofiler du kan skapa finns i Använda funktioner och inställningar på dina enheter med enhetsprofiler i Microsoft Intune.
Distribuera Windows-säkerhetsbaslinjer för Intune
Som utgångspunkt rekommenderar vi säkerhetsbaslinjerna inom Microsoft Intune om du vill anpassa enhetskonfigurationerna till Microsofts säkerhetsbaslinjer. Fördelen med den här metoden är att du kan lita på att Microsoft håller baslinjerna uppdaterade när Windows 10- och Windows 11-funktioner släpps.
För att distribuera Windows säkerhetsbaslinjer för Intune, tillgängligt för Windows 10 och Windows 11. Mer information om tillgängliga baslinjer finns i Använda säkerhetsbaslinjer för att konfigurera Windows-enheter i Intune.
För tillfället distribuerar du den lämpligaste MDM-säkerhetsbaslinjen. Se Hantera säkerhetsbaslinjeprofiler i Microsoft Intune för att skapa profilen och välja baslinjeversionen.
När Microsoft Defender för Endpoint har konfigurerats och du har anslutit Intune distribuerar du baslinjerna för Defender för Endpoint. Det här ämnet beskrivs i nästa artikel i den här serien: Steg 6. Övervaka enhetsrisk och efterlevnad av säkerhetsbaslinjer.
Det är viktigt att förstå att dessa säkerhetsbaslinjer inte är CIS- eller NIST-kompatibla, men de speglar deras rekommendationer noga. Mer information finns i Är Intunes säkerhetsbaslinjer CIS- eller NIST-kompatibla
Anpassa konfigurationsprofiler för din organisation
Förutom att distribuera de förkonfigurerade baslinjerna implementerar många stora organisationer konfigurationsprofiler för mer detaljerad kontroll. Den här konfigurationen bidrar till att minska beroendet av grupprincipobjekt i den lokala Active Directory-miljön och flyttar säkerhetskontrollerna till molnet.
De många inställningar som du kan konfigurera med hjälp av konfigurationsprofiler kan grupperas i fyra kategorier enligt nedan.
I följande tabell beskrivs bilden.
| Kategori | Beskrivning | Exempel |
|---|---|---|
| Enhetsfunktioner | Kontrollerar funktioner på enheten. Den här kategorin gäller endast för iOS-/iPadOS- och macOS-enheter. | AirPrint, meddelanden, låsskärmsmeddelanden |
| Enhetsbegränsningar | Kontrollerar säkerhet, maskinvara, datadelning med mera på enheterna | Kräv PIN-kod, datakryptering |
| Åtkomstkonfiguration | Konfigurerar en enhet för åtkomst till organisationens resurser | E-postprofiler, VPN-profiler, Wi-Fi-inställningar, certifikat |
| Anpassat | Ange anpassad konfiguration eller kör anpassade konfigurationsåtgärder | Ange OEM-inställningar, kör PowerShell-skript |
Använd följande vägledning när du anpassar konfigurationsprofiler för din organisation:
- Förenkla din strategi för säkerhetsstyrning genom att hålla det totala antalet principer litet.
- Gruppera inställningar i kategorierna ovan eller kategorier som passar din organisation.
- När du flyttar säkerhetskontroller från grupprincip-objekt (GPO) till Intune konfigurationsprofiler bör du överväga om de inställningar som konfigurerats av varje grupprincipobjekt fortfarande är relevanta och behövs för att bidra till din övergripande molnsäkerhetsstrategi. Villkorsstyrd åtkomst och de många principer som kan konfigureras för molntjänster, inklusive Intune, ger mer avancerat skydd än vad som kunde konfigureras i en lokal miljö där anpassade grupprincipobjekt ursprungligen utformades.
- Använd grupprincip Analytics för att jämföra och mappa dina aktuella GPO-inställningar till funktioner i Microsoft Intune. Se Analysera dina lokala grupprincipobjekt (GPO) med hjälp av grupprincip analys i Microsoft Intune.
- När du använder anpassade konfigurationsprofiler bör du följa anvisningarna här: Skapa en profil med anpassade inställningar i Intune.
Ytterligare resurser
Om du inte vet var du ska börja med enhetsprofiler kan följande hjälpa dig:
Om din miljö innehåller lokala grupprincipobjekt är följande funktioner en bra övergång till molnet:
Nästa steg
Gå till Steg 6. Övervaka enhetsrisk och efterlevnad av säkerhetsbaslinjer.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för