Hantera enheter med Intune -översikt
En av de viktigaste komponenterna i säkerhet på företagsnivå är att hantera och skydda enheter. Oavsett om du skapar en Noll förtroende-säkerhetsarkitektur och hårdställer miljön mot utpressningstrojaner eller skapar skydd för distansarbetare är hantering av enheter en del av strategin. Även Microsoft 365 innehåller flera verktyg och metoder för att hantera och skydda enheter. Den här vägledningen går igenom Microsofts rekommendationer med hjälp av Microsoft Intune. Det här är rätt vägledning för dig om du:
- Planera att registrera enheter i Intune via Microsoft Entra-anslutning (inklusive Microsoft Entra hybridanslutning).
- Planera att registrera enheter manuellt i Intune.
- Tillåt BYOD-enheter med planer på att implementera skydd för appar och data och/eller registrera dessa enheter i Intune.
Om din miljö å andra sidan innehåller planer för samhantering, inklusive Microsoft Configuration Manager, kan du läsa dokumentation om samhantering för att utveckla den bästa vägen för din organisation. Om din miljö innehåller planer för Windows 365 Cloud PC kan du läsa Dokumentation om Windows 365 Enterprise för att utveckla den bästa vägen för din organisation.
Titta på den här videon för att få en översikt över distributionsprocessen.
Varför ska du hantera slutpunkter?
Det moderna företaget har en enorm variation av slutpunkter som används för att komma åt sina data. Den här konfigurationen skapar en enorm attackyta och därför kan slutpunkter lätt bli den svagaste länken i din nollförtroendestrategi.
Användare drivs mest av behovet när världen flyttas till en fjärr- eller hybridarbetsmodell, och arbetar var som helst, från vilken enhet som helst, mer än när som helst i historiken. Angripare justerar snabbt sina taktiker för att dra nytta av den här ändringen. Många organisationer ställs inför begränsade resurser när de navigerar i de här nya affärsutmaningarna. I stort sett över en natt har företag accelererat den digitala omvandlingen. Enkelt uttryckt har hur människor arbetar förändrats. Vi förväntar oss inte längre att få åtkomst till den myriad av företagsresurser som bara finns på kontoret och på företagsägda enheter.
Att få insyn i slutpunkterna för åtkomst till företagets resurser är det första steget i din Noll förtroende enhetsstrategi. Företag är vanligtvis proaktiva när det gäller att skydda datorer mot sårbarheter och attacker, medan mobila enheter ofta inte övervakas och utan skydd. För att säkerställa att du inte exponerar dina data för risk måste vi övervaka varje slutpunkt för risker och använda detaljerade åtkomstkontroller för att leverera lämplig åtkomstnivå baserat på organisationsprincip. Om en personlig enhet till exempel är jailbrokad kan du blockera åtkomsten för att säkerställa att företagsprogram inte exponeras för kända säkerhetsrisker.
Den här serien med artiklar går igenom en rekommenderad process för att hantera enheter som har åtkomst till dina resurser. Om du följer de rekommenderade stegen får din organisation ett mycket avancerat skydd för dina enheter och de resurser som de har åtkomst till.
Implementera lager för skydd på och för enheter
Skydda data och appar på enheter och själva enheterna i en flerlagersprocess. Det finns vissa skydd som du kan få på ohanterade enheter. När du har registrerat enheter i hanteringen kan du implementera mer avancerade kontroller. När hotskydd distribueras över dina slutpunkter får du ännu fler insikter och möjlighet att automatiskt åtgärda vissa attacker. Om din organisation har lagt arbetet på att identifiera känsliga data, tillämpa klassificering och etiketter och konfigurera Dataförlustskydd i Microsoft Purview principer kan du få ännu mer detaljerat skydd för data på dina slutpunkter.
Följande diagram illustrerar byggstenar för att uppnå en Noll förtroende säkerhetsstatus för Microsoft 365 och andra SaaS-appar som du introducerar i den här miljön. Elementen som är relaterade till enheter numreras 1 till 7. Enhetsadministratörer kommer att samordna med andra administratörer för att utföra dessa skyddslager.
I den här illustrationen:
Steg | Beskrivning | Licensieringskrav | |
---|---|---|---|
1 | Konfigurera startpunktsprinciper för Nollförtroendeidentitet och enhetsåtkomst | Samarbeta med din identitetsadministratör för att implementera dataskydd för appskyddsprinciper (APP) på nivå 2. Dessa principer kräver inte att du hanterar enheter. Du konfigurerar APP-principerna i Intune. Din identitetsadministratör konfigurerar en princip för villkorsstyrd åtkomst så att godkända appar krävs. | E3, E5, F1, F3, F5 |
2 | Registrera enheter till Intune | Den här uppgiften kräver mer planering och tid att implementera. Microsoft rekommenderar att du använder Intune för att registrera enheter eftersom det här verktyget ger optimal integrering. Det finns flera alternativ för att registrera enheter, beroende på plattform. Windows-enheter kan till exempel registreras med hjälp av Microsoft Entra ansluta eller med hjälp av Autopilot. Du måste granska alternativen för varje plattform och bestämma vilket registreringsalternativ som passar bäst för din miljö. Se steg 2. Registrera enheter i Intune för mer information. | E3, E5, F1, F3, F5 |
3 | Konfigurera efterlevnadsprinciper | Du vill vara säker på att enheter som har åtkomst till dina appar och data uppfyller minimikraven, till exempel att enheter är lösenords- eller PIN-skyddade och att operativsystemet är uppdaterat. Efterlevnadsprinciper är ett sätt att definiera de krav som enheterna måste uppfylla. Steg 3. Genom att konfigurera efterlevnadsprinciper kan du konfigurera dessa principer. | E3, E5, F3, F5 |
4 | Konfigurera principer för Enterprise (rekommenderas) Nollförtroendeidentitet och enhetsåtkomst | Nu när dina enheter har registrerats kan du arbeta med din identitetsadministratör för att justera principer för villkorsstyrd åtkomst för att kräva felfria och kompatibla enheter. | E3, E5, F3, F5 |
5 | Distribuera konfigurationsprofiler | I motsats till enhetsefterlevnadsprinciper som helt enkelt markerar en enhet som kompatibel eller inte baserat på kriterier som du konfigurerar, ändrar konfigurationsprofiler faktiskt konfigurationen av inställningarna på en enhet. Du kan använda konfigurationsprinciper för att hårdna enheter mot cyberhot. Se steg 5. Distribuera konfigurationsprofiler. | E3, E5, F3, F5 |
6 | Övervaka enhetsrisk och efterlevnad av säkerhetsbaslinjer | I det här steget ansluter du Intune till Microsoft Defender för Slutpunkt. Med den här integreringen kan du sedan övervaka enhetsrisker som ett villkor för åtkomst. Enheter som är i ett riskfyllt tillstånd blockeras. Du kan också övervaka hur säkerhetsbaslinjer efterlevs. Se steg 6. Övervaka enhetsrisk och efterlevnad av säkerhetsbaslinjer. | E5, F5 |
7 | Implementera dataförlustskydd (DLP) med informationsskyddsfunktioner | Om din organisation har lagt arbetet på att identifiera känsliga data och etikettera dokument kan du samarbeta med din informationsskyddsadministratör för att skydda känslig information och dokument på dina enheter. | E5, F5 efterlevnads tillägg |
Samordnande slutpunktshantering med Noll förtroende-principer för identitets- och enhetsåtkomst
Den här vägledningen är nära samordnad med de rekommenderade Zero Trust identitets- och enhetsåtkomstpolicyer. Du kommer att arbeta med ditt identitetsteam för att genomföra det skydd som du konfigurerar med Intune i principer för villkorsstyrd åtkomst i Microsoft Entra ID.
Här är en bild av den rekommenderade principuppsättningen med stegvisa pratbubblar för det arbete du ska utföra i Intune och relaterade principer för villkorsstyrd åtkomst som du hjälper till att samordna i Microsoft Entra ID.
I den här illustrationen:
- I steg 1 Implementera appskyddsprinciper på nivå 2 (APP), konfigurerar du den rekommenderade nivån på dataskydd med APP-principer. Sedan arbetar du med ditt identitetsteam för att konfigurera den relaterade regeln för villkorsstyrd åtkomst för att kräva användning av det här skyddet.
- I steg 2, 3 och 4 registrerar du enheter för hantering med Intune, definierar principer för enhetsefterlevnad och samordnar sedan med ditt identitetsteam för att konfigurera den relaterade regeln för villkorsstyrd åtkomst så att endast åtkomst till kompatibla enheter tillåts.
Registrera enheter jämfört med registreringsenheter
Om du följer den här vägledningen registrerar du enheter i hanteringen med hjälp av Intune och du registrerar enheter för följande Microsoft 365-funktioner:
- Microsoft Defender för Endpoint
- Microsoft Purview (för dataförlustskydd för slutpunkter (DLP))
Följande bild beskriver hur det fungerar med Intune.
På bilden:
- Registrera enheter för hantering med Intune.
- Använd Intune för att registrera enheter i Defender för Endpoint.
- Enheter som är registrerade i Defender för Endpoint registreras också för Microsoft Purview efterlevnadsfunktioner, inklusive slutpunkts-DLP.
Observera att endast Intune hanterar enheter. Onboarding syftar på möjligheten för en enhet att dela information med en specifik tjänst. I följande tabell sammanfattas skillnaderna mellan att registrera enheter i hanterings- och registreringsenheter för en viss tjänst.
Registrera | Onboard | |
---|---|---|
Beskrivning | Registrering gäller för hantering av enheter. Enheter registreras för hantering med Intune eller Konfigurationshanteraren. | Onboarding konfigurerar en enhet så att den fungerar med en specifik uppsättning funktioner i Microsoft 365. För närvarande gäller registrering för Microsoft Defender för Endpoint och Microsofts efterlevnadsfunktioner. På Windows-enheter innebär onboarding att du kan växla en inställning i Windows Defender som gör att Defender kan ansluta till onlinetjänsten och acceptera principer som gäller för enheten. |
Omfattning | Dessa verktyg för enhetshantering hanterar hela enheten, inklusive att konfigurera enheten så att den uppfyller specifika mål, till exempel säkerhet. | Registrering påverkar bara de tjänster som gäller. |
Rekommenderad metod | Microsoft Entra ansluter automatiskt enheter till Intune. | Intune är den bästa metoden för att registrera enheter som ska Windows Defender för slutpunkt och därmed Microsoft Purview-funktioner. Observera att enheter som är registrerade i Microsoft Purview-funktioner med andra metoder inte registreras automatiskt för Defender för Endpoint. |
Andra metoder | Andra registreringsmetoder beror på enhetens plattform och om den är BYOD eller hanteras av din organisation. | Andra metoder för registrering av enheter är i rekommenderad ordning: |
Learning för administratörer
Följande resurser hjälper administratörer att lära sig begrepp om att använda Intune.
Förenkla enhetshantering med Microsoft Intune träningsmodul
Lär dig mer om hur företagshanteringslösningarna via Microsoft 365 ger användare en säker, personlig skrivbordsupplevelse och hjälper organisationer att enkelt hantera uppdateringar för alla enheter med en förenklad administratörsupplevelse.
-
Microsoft Intune hjälper dig att skydda de enheter, appar och data som personerna i din organisation använder för att vara produktiva. Den här artikeln beskriver hur du konfigurerar Microsoft Intune. Konfigurationen omfattar granskning av de konfigurationer som stöds, registrering av Intune, tillägg av användare och grupper, tilldelning av licenser till användare, beviljande av administratörsbehörigheter och inställning av utfärdare för mobile Enhetshantering (MDM).