Microsoft Intune 中的保護和設定層級

  • 文章

Microsoft Intune 可讓系統管理員建立套用至使用者、裝置和應用程式的原則。 這些原則的範圍從最小設定到更安全或受控制的原則。 這些原則取決於組織需求、使用的裝置,以及裝置的用途。

當您準備好建立原則時,可以使用不同層級的保護和設定:

您的環境和商務需求可能會定義不同的層級。 您可以使用這些層級作為起點,然後自定義它們以符合您的需求。 例如,您可以使用層級 1 中的裝置設定原則,以及層級 3 中的應用程式原則。

選擇適合您組織的層級。 沒有錯誤的選擇。

層級 1 - 最低保護和設定

此層級包含每個組織至少應具備的原則。 此層級中的原則會建立安全性功能的最小基準,並讓用戶能夠存取執行其工作所需的資源。

應用程式 (層級 1)

此層級會強制執行合理的數據保護和存取需求,同時將對用戶的影響降至最低。 此層級可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 此層級是一種進入層級設定,可在信箱原則中提供類似的數據保護控制 Exchange Online。 它也會將 IT 和使用者母體引進應用程式保護原則。

在這裡層級中,Microsoft 建議您為應用程式設定下列保護和存取:

  • 啟用基本資料保護需求:

    • 允許應用程式基本數據傳輸
    • 強制執行基本應用程式加密
    • 允許基本存取功能

  • 啟用基本存取需求:

    • 需要 PIN、臉部標識碼和生物特徵辨識存取
    • 強制執行支援的基本存取設定

  • 開啟基本條件式應用程式啟動:

    • 設定應用程式基本存取嘗試
    • 根據已越獄/Root 破解的裝置封鎖應用程式存取
    • 根據裝置的基本完整性限制應用程式存取

如需詳細資訊,請參閱 層級 1 基本應用程式保護

合規性 (層級 1)

在此層級中,裝置合規性包括設定適用於所有裝置的全租用戶設定,以及將最低合規性原則部署到所有裝置,以強制執行一組核心合規性需求。 Microsoft 建議您在允許裝置存取組織的資源之前,先備妥這些設定。 層級 1 裝置合規性包括:

合規性原則設定 是一些全租用戶設定,會影響Intune合規性服務與裝置的運作方式。

平臺特定合規性原則 包含跨平臺常見主題的設定。 不同平台之間的實際設定名稱和實作可能不同:

  • 僅限 Windows (需要防病毒軟體、反間諜軟體和反惡意代碼軟體)
  • 作業系統版本:
    • 操作系統上限
    • 最低作業系統
    • 次要和主要組建版本
    • OS 修補程式層級
  • 密碼設定
    • 在閑置期間後強制執行鎖定畫面,需要密碼或釘選才能解除鎖定
    • 需要包含字母、數位和符號組合的複雜密碼
    • 需要密碼或 PIN 才能解除鎖定裝置
    • 需要最小密碼長度

相容的動作會自動包含在每個平臺特定原則中。 這些動作是您設定的一或多個時間排序動作,適用於不符合原則合規性需求的裝置。 根據預設,將裝置標示為不符合規範是每個原則中包含的立即動作。

如需詳細資訊,請參閱 層級 1 - 最低裝置合規性

裝置設定 (層級 1)

在此層級中,配置檔包含著重於安全性和資源存取的設定。 具體而言,在此層級中,Microsoft 建議您設定下列功能:

  • 啟用基本安全性,包括:

    • 防病毒軟體和掃描
    • 威脅偵測和回應
    • 防火牆
    • 軟體更新
    • 強式 PIN 碼和密碼原則

  • 為使用者提供網路存取權:

    • 電子郵件
    • 用於遠端存取的 VPN
    • 內部部署存取的 Wi-Fi

如需此層級中這些原則的詳細資訊,請移至 步驟 4 - 建立裝置組態配置檔以保護裝置,以及建立與組織資源的連線

層級 2 - 增強的保護和設定

此層級會擴充最小原則集合,以包含更多安全性,並擴充您的行動裝置管理。 此層級中的原則可保護更多功能、提供身分識別保護,以及管理更多裝置設定。

使用此層級中的設定來新增您在層級 1 中完成的工作。

應用程式 (層級 2)

此層級建議使用者存取更敏感資訊之裝置的標準應用程式保護層級。 此層級引進應用程式保護原則數據外泄防護機制和最低OS需求。 此層級適用於大部分存取公司或學校數據的行動使用者。

除了層級 1 設定之外,Microsoft 建議您為應用程式設定下列保護和存取:

  • 啟用增強型資料保護需求:

    • 傳輸組織相關數據
    • 在 iOS/iPadOS (豁免選取的應用程式資料傳輸需求)
    • 傳輸電信數據
    • 限制應用程式之間的剪下、複製和貼上
    • 封鎖螢幕擷取 (Android)

  • 開啟增強條件式應用程式啟動:

    • 封鎖停用應用程式帳戶
    • 強制執行最低裝置OS需求
    • 需要 Android) (最低修補程式版本
    • Android) (需要播放完整性決策評估類型
    • 需要裝置鎖定 (Android)
    • 根據提高裝置的完整性來允許應用程式存取

如需詳細資訊,請參閱 第 2 層增強型應用程式保護

合規性 (層級 2)

在此層級,Microsoft 建議將更複雜的選項新增至您的合規性原則。 此層級的許多設定都有平臺特定的名稱,這些名稱都會提供類似的結果。 以下是 Microsoft 建議您在可用時使用的設定類別或類型:

  • 應用:

    • 管理裝置取得應用程式的位置,例如 Google Play for Android
    • 允許來自特定位置的應用程式
    • 封鎖來自未知來源的應用程式

  • 防火牆設定

    • macOS、Windows) (防火牆設定

  • 加密:

    • 需要加密數據記憶體
    • BitLocker (Windows)
    • fileVault (macOS)

  • 密碼

    • 密碼到期和重複使用

  • 系統層級檔案和開機保護:

    • 封鎖Android) (USB 偵錯
    • 封鎖Android、iOS) (破解或越獄的裝置
    • macOS) (需要系統完整性保護
    • 需要 Windows) (程式代碼完整性
    • 需要在 Windows) (啟用安全開機
    • 信賴平臺模組 (Windows)

如需詳細資訊,請參 閱層級 2 - 增強型裝置合規性設定

裝置設定 (層級 2)

在此層級中,您要擴充您在層級 1 中設定的設定和功能。 Microsoft 建議您建立下列原則:

  • 在裝置上啟用磁碟加密、安全開機和 TPM,以新增另一層安全性。
  • 將您的 PIN & 密碼設定為到期,並管理是否/何時可以重複使用密碼。
  • 設定更細微的裝置功能、設定和行為。
  • 如果您有內部部署 GPO,則可以判斷這些 GPO 是否可在 Intune 中使用。

如需有關此層級裝置設定原則的更具體資訊,請移至 層級 2 - 增強式保護和設定

層級 3 - 高保護和設定

此層級包含企業層級原則,而且可能會牽涉到組織中的不同系統管理員。 這些原則會繼續移至無密碼驗證、擁有更多安全性,以及設定特製化裝置。

使用此層級中的設定來新增您在層級 1 和 2 中完成的工作。

應用程式 (層級 3)

此層級建議使用者存取更敏感資訊之裝置的標準應用程式保護層級。 此層級引進了進階數據保護機制、增強的 PIN 設定,以及應用程式防護原則 Mobile Threat Defense。 此設定等級適用於存取高風險資料的使用者。

除了層級 1 和 2 設定之外,Microsoft 建議您為應用程式設定下列保護和存取:

  • 開啟高資料保護需求:

    • 傳輸電信數據時的高保護
    • 只從受原則管理的應用程式接收數據
    • 封鎖將數據開啟至組織檔
    • 允許使用者從選取的服務開啟數據
    • 封鎖第三方鍵盤
    • 需要/選取Android (核准的鍵盤)
    • 封鎖列印組織數據

  • 啟用高存取需求:

    • 封鎖簡單 PIN,並需要特定的最小 PIN 長度
    • 需要在天數之後重設 PIN
    • 需要類別 3 生物識別 (Android 9.0+)
    • 在Android (生物特徵辨識更新之後,需要使用PIN覆寫生物特徵辨識)

  • 開啟高條件式應用程式啟動:

    • 需要裝置鎖定 (Android)
    • 需要允許的最大威脅層級
    • 需要最大OS版本

如需詳細資訊,請參閱 第 3 層高應用程式保護

合規性 (層級 3)

在此層級,您可以透過下列功能來擴充 Intune 的內建合規性功能:

  • 整合來自Mobile Threat Defense (MTD) 合作夥伴的數據

    • 使用 MTD 合作夥伴時,您的合規性原則可能會要求裝置處於或低於 裝置威脅等級計算機風險分數,由該合作夥伴決定

  • 搭配 Intune 使用第三方合規性合作夥伴

  • 使用腳本將自定義合規性設定新增至原則,以取得 Intune UI 內無法使用的設定。 (Windows、Linux)

  • 使用合規性政策數據搭配條件式存取原則來限制對貴組織資源的存取

如需詳細資訊,請參閱 層級 3 - 進階裝置合規性設定

裝置設定 (層級 3)

此層級著重於企業級的服務和功能,而且可能需要基礎結構投資。 在此層級中,您可以建立下列原則:

  • 將無密碼驗證擴充至組織中的其他服務,包括憑證式驗證、應用程式的單一登錄、多重要素驗證 (MFA) ,以及 Microsoft Tunnel VPN 閘道。

  • 藉由部署適用於 MAM) 行動應用程式管理的 Microsoft Tunnel (Tunnel 來擴充 Microsoft Tunnel,這會將 Tunnel 支援延伸至未向 Intune 註冊的 iOS 和 Android 裝置。 MAM 的通道可作為 Intune 附加元件使用。

    如需詳細資訊,請 參閱使用 Intune Suite 附加元件功能

  • 設定套用至 Windows 韌體層的裝置功能。 使用 Android 通用準則模式。

  • 使用 Windows 本機系統管理員密碼解決方案的 Intune 原則 (LAPS) ,以協助保護受控 Windows 裝置上的內建本機系統管理員帳戶。

    如需詳細資訊,請參閱 Windows LAPS 的 Intune 支援

  • 透過使用端點許可權管理 (EPM) 來保護 Windows 裝置,這可協助您以標準使用者身分執行組織的使用者, (沒有系統管理員許可權) ,同時讓這些相同的使用者完成需要提高許可權的工作。

    EPM 是以 Intune 附加元件的形式提供。 如需詳細資訊,請 參閱使用 Intune Suite 附加元件功能

  • 設定特殊裝置,例如 kiosk 和共用裝置。

  • 視需要部署腳本。

如需此層級裝置設定原則的詳細資訊,請移至 層級 3 - 高保護和設定

後續步驟

如需您可以建立之所有裝置組態配置檔的完整清單,請移至在 Microsoft Intune 中使用裝置配置檔在裝置上套用功能和設定