共用方式為


Microsoft Intune 中的保護和設定層級

Microsoft Intune 可讓系統管理員 建立套用至使用者、裝置和應用程式的原則。 這些原則的範圍從最小設定到更安全或受控制的原則。 這些原則取決於組織需求、使用的裝置,以及裝置的用途。

當您準備好建立原則時,可以使用不同層級的保護和設定:

您的環境和商務需求可以定義不同的層級。 您可以使用這些層級作為起點,然後自定義它們以符合您的需求。 例如,您可以使用層級 1 中的裝置設定原則,以及層級 3 中的應用程式原則。

選擇適合您組織的層級。 沒有錯誤的選擇。

層級 1 - 最低保護和設定

此層級包含每個組織至少應具備的原則。 此層級中的原則會建立安全性功能的最小基準,並讓用戶能夠存取執行其工作所需的資源。

應用程式 (層級 1)

此層級會強制執行合理的數據保護和存取需求,並將用戶中斷情況降至最低。 此層級可確保應用程式受到 PIN & 基本加密的保護,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 此層級是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的數據保護控制。 它也會向 IT 和終端使用者介紹應用程式保護原則。

在此層級中,Microsoft建議您為應用程式設定下列保護和存取:

  • 啟用基本數據保護需求

    • 允許應用程式基本數據傳輸
    • 強制執行基本應用程式加密
    • 允許基本存取功能
  • 啟用基本存取需求

    • 需要 PIN、臉部標識碼和生物特徵辨識存取
    • 強制執行支援的基本存取設定
  • 啟用基本條件式應用程式啟動

    • 設定應用程式基本存取嘗試
    • 根據已越獄/Root 破解的裝置封鎖應用程式存取
    • 根據裝置的基本完整性限制應用程式存取

如需詳細資訊,請移至 層級 1 基本應用程式保護

合規性 (層級 1)

在此層級中,裝置合規性會設定適用於所有裝置的全租用戶設定。 您也會將最低合規性政策部署到所有裝置,以強制執行一組核心合規性需求。

Microsoft建議您在允許裝置存取貴組織的資源之前,先備妥這些設定。 層級 1 裝置合規性包括:

  • 合規性原則設定 是一些全租用戶設定,會影響Intune合規性服務與裝置的運作方式。

  • 平臺特定合規性原則 包含跨平臺常見主題的設定。 實際的設定名稱和實作可能會因不同的平臺而有所不同:

    • 僅限 Windows (需要防病毒軟體、反間諜軟體和反惡意代碼軟體)
    • 作業系統版本
      • 操作系統上限
      • 最低作業系統
      • 次要和主要組建版本
      • OS 修補程式層級
    • 密碼設定
      • 在閑置期間後強制執行鎖定畫面,需要密碼或釘選才能解除鎖定
      • 需要包含字母、數位和符號組合的複雜密碼
      • 需要密碼或 PIN 才能解除鎖定裝置
      • 需要最小密碼長度
  • 相容的動作會自動包含在每個平臺特定原則中。 這些動作是您設定的一或多個排序時間的動作。 它們會套用至不符合您原則合規性需求的裝置。 根據預設,將裝置標示為不符合規範是每個原則隨附的立即動作。

如需詳細資訊,請移至 [層級 1 - 最低裝置合規性]

裝置設定 (層級 1)

在此層級中,配置檔包含著重於安全性和資源存取的設定。 具體而言,在此層級中,Microsoft建議您設定下列功能:

  • 啟用基本安全性,包括:

    • 防病毒軟體和掃描
    • 威脅偵測和回應
    • 防火牆
    • 軟體更新
    • 強式 PIN 碼和密碼原則
  • 為使用者提供網路存取權:

    • 電子郵件
    • 用於遠端存取的 VPN
    • 內部部署存取的 Wi-Fi

如需詳細資訊,請移至 步驟 4 - 建立裝置組態配置檔以保護裝置,以及建立與組織資源的連線

層級 2 - 增強的保護和設定

此層級會擴充最小原則集合,以包含更多安全性,並擴充您的行動裝置管理。 此層級中的原則可保護更多功能、提供身分識別保護,以及管理更多裝置設定。

使用此層級中的設定來新增您在層級 1 中設定的內容。

應用程式 (層級 2)

此層級建議使用者存取更敏感資訊之裝置的標準應用程式保護層級。 此層級引進應用程式保護原則數據外泄防護機制和最低OS需求。 此層級適用於大部分存取公司或學校數據的行動使用者。

除了層級 1 設定之外,Microsoft建議您為應用程式設定下列保護和存取:

  • 啟用增強型數據保護需求

    • 傳輸組織相關數據
    • 在 iOS/iPadOS (豁免選取的應用程式資料傳輸需求)
    • 傳輸電信數據
    • 限制應用程式之間的剪下、複製和貼上
    • 封鎖螢幕擷取 (Android)
  • 啟用增強條件式應用程式啟動

    • 封鎖停用應用程式帳戶
    • 強制執行最低裝置OS需求
    • 需要 Android) (最低修補程式版本
    • Android) (需要播放完整性決策評估類型
    • 需要裝置鎖定 (Android)
    • 根據提高裝置的完整性來允許應用程式存取

如需詳細資訊,請移至 第 2 層增強型應用程式保護

合規性 (層級 2)

在此層級,Microsoft建議將更細微的選項新增至您的合規性原則。 此層級的許多設定都有平臺特定的名稱,這些名稱都會提供類似的結果。 以下是Microsoft建議您在可用時使用的設定類別或類型:

  • 應用程式

    • 管理裝置取得應用程式的位置,例如 Google Play for Android
    • 允許來自特定位置的應用程式
    • 封鎖來自未知來源的應用程式
  • 防火牆設定

    • macOS、Windows) (防火牆設定
  • 加密

    • 需要加密數據記憶體
    • BitLocker (Windows)
    • fileVault (macOS)
  • 密碼

    • 密碼到期和重複使用
  • 系統層級檔案和開機保護

    • 封鎖Android) (USB 偵錯
    • 封鎖Android、iOS) (破解或越獄的裝置
    • macOS) (需要系統完整性保護
    • 需要 Windows) (程式代碼完整性
    • 需要在 Windows) (啟用安全開機
    • 信賴平臺模組 (Windows)

如需詳細資訊,請移至 [層級 2 - 增強的裝置合規性設定]

裝置設定 (層級 2)

在此層級中,您要擴充您在層級 1 中設定的設定和功能。 Microsoft建議您建立下列原則:

  • 在裝置上啟用磁碟加密、安全開機和信賴平臺模組 (TPM) ,以新增另一層安全性。
  • 將您的 PIN & 密碼設定為到期,並管理是否/何時可以重複使用密碼。
  • 設定更細微的裝置功能、設定和行為。
  • 判斷 Intune 中是否有任何內部部署組策略物件 (GPO) 。

如需有關此層級裝置設定原則的更具體資訊,請移至 層級 2 - 增強式保護和設定

層級 3 - 高保護和設定

此層級包含企業層級原則,而且可能牽涉到組織中的不同系統管理員。 這些原則會繼續移至無密碼驗證、擁有更多安全性,以及設定特製化裝置。

使用此層級中的設定來新增您在層級 1 和 2 中設定的內容。

應用程式 (層級 3)

此層級建議使用者存取更敏感資訊之裝置的標準應用程式保護層級。 此層級會透過Mobile Threat Defense引進進階資料保護、增強的 PIN 設定和應用程式保護原則。 此設定適用於存取高風險數據的使用者。

除了層級 1 和 2 設定之外,Microsoft建議您為應用程式設定下列保護和存取:

  • 啟用高數據保護需求

    • 傳輸電信數據時的高保護
    • 只從受原則管理的應用程式接收數據
    • 封鎖將數據開啟至組織檔
    • 允許使用者從選取的服務開啟數據
    • 封鎖不想要的夥伴或非Microsoft鍵盤
    • 需要/選取Android (核准的鍵盤)
    • 封鎖列印組織數據
  • 啟用高存取需求

    • 封鎖簡單 PIN,並需要特定的最小 PIN 長度
    • 需要在天數之後重設 PIN
    • 需要類別 3 生物識別 (Android 9.0+)
    • 在Android (生物特徵辨識更新之後,需要使用PIN覆寫生物特徵辨識)
  • 啟用高條件式應用程式啟動

    • 需要裝置鎖定 (Android)
    • 需要允許的最大威脅層級
    • 需要最大OS版本

如需詳細資訊,請移至 第 3 層高應用程式保護

合規性 (層級 3)

在此層級,您可以透過下列功能來擴充 Intune 的內建合規性功能:

  • 整合來自Mobile Threat Defense (MTD) 合作夥伴的數據

    • 使用 MTD 合作夥伴時,您的合規性原則可能會要求裝置處於或低於 裝置威脅等級計算機風險分數,由該合作夥伴決定。
  • 搭配 Intune 使用非Microsoft合規性合作夥伴。

  • 使用腳本將自定義合規性設定新增至原則,以取得 Intune UI 內無法使用的設定。 (Windows、Linux)

  • 使用合規性政策數據搭配條件式存取原則,以存取貴組織的資源。

如需詳細資訊,請移至 層級 3 - 進階裝置合規性設定

裝置設定 (層級 3)

此層級著重於企業級的服務和功能,而且可能需要基礎結構投資。 在此層級中,您可以建立下列原則:

  • 將無密碼驗證擴充至組織中的其他服務,包括憑證式驗證、應用程式的單一登錄、多重要素驗證 (MFA) ,以及 Microsoft Tunnel VPN 閘道。

  • 藉由部署 Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) 來擴充 Microsoft Tunnel,這會將 Tunnel 支援延伸至未向 Intune 註冊的 iOS 和 Android 裝置。 MAM 的通道可作為 Intune 附加元件使用。

    如需相關信息,請移至 使用 Intune Suite 附加元件功能

  • 設定套用至 Windows 韌體層的裝置功能。 使用 Android 通用準則模式。

  • 使用 Windows 本機系統管理員密碼解決方案的 Intune 原則 (LAPS) ,以協助保護受控 Windows 裝置上的內建本機系統管理員帳戶。

    如需詳細資訊,請移至 Windows LAPS 的 Intune 支援

  • 使用端點許可權管理 (EPM) 來保護 Windows 裝置。 EPM 可協助您以標準使用者身分執行組織的使用者, (沒有系統管理員許可權) ,並可讓這些相同的使用者完成需要更高許可權的工作。

    EPM 是以 Intune 附加元件的形式提供。 如需相關信息,請移至 使用 Intune Suite 附加元件功能

  • 設定特殊裝置,例如 kiosk 和共用裝置。

  • 視需要部署腳本。

如需此層級裝置設定原則的詳細資訊,請移至 層級 3 - 高保護和設定

相關文章

如需您可以建立之所有裝置組態配置檔的完整清單,請移至 在Intune中使用裝置配置檔在裝置上套用功能和設定Microsoft