Microsoft Intune 的零信任

零信任 是一种安全策略,用于设计和实现以下一组安全原则:

显式验证 使用最小特权 假定漏洞
始终根据所有可用的数据点进行身份验证和授权。 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 最小化爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。

零信任的设备与应用程序身份验证、授权和保护

可以使用 Intune 保护组织拥有和用户个人设备上的访问和数据,并具有支持零信任的合规性和报告功能。

零信任原则 Intune 如何提供帮助
显式验证 Intune 允许为应用、安全设置、设备配置、合规性、Microsoft Entra 条件访问等配置策略。 这些策略成为访问资源的身份验证和授权过程的一部分。
使用最小特权 Intune 通过内置的应用体验(包括应用部署、更新和删除)简化了应用管理。 你可以连接到专用应用商店并从中分发应用,启用 Microsoft 365 应用,部署 Win32 应用,创建应用保护策略,以及管理对应用及其数据的访问权限。

使用 Endpoint Privilege Management (EPM) ,可以将组织的用户作为标准用户运行, (没有管理员权限) ,同时使这些用户能够完成需要提升权限的任务。

Windows 本地管理员密码解决方案的 Intune 策略 (LAPS) 可以帮助你保护 Windows 设备上的本地管理员帐户。 由于无法删除本地管理员帐户,并且对设备具有完全权限,因此能够管理内置 Windows 管理员帐户是保护组织的重要步骤。
假定漏洞 Intune 与移动威胁防御服务(包括 Microsoft Defender for Endpoint 和第三方合作伙伴服务)集成。 借助这些服务,可以创建用于响应威胁的终结点保护策略、执行实时风险分析以及自动修正。

后续步骤

详细了解零信任以及如何使用 零信任指导中心构建企业级策略和体系结构。

有关以设备为中心的概念和部署目标,请参阅 使用零信任保护终结点

对于 Microsoft 365 中的 Intune,请参阅 使用 Intune 概述管理设备

详细了解其他Microsoft 365 功能,这些功能有助于使用 Microsoft 365 部署计划实现强大的零信任策略和体系结构。