Microsoft Intune中的保护和配置级别

  • 项目

Microsoft Intune使管理员能够创建应用于用户、设备和应用的策略。 这些策略的范围可以是最低集,也可以是更安全或更受控的策略。 这些策略取决于组织需求、所使用的设备以及设备将执行的操作。

准备好创建策略后,可以使用不同级别的保护和配置:

环境和业务需求可能定义了不同的级别。 可以将这些级别用作起点,然后根据自己的需求对其进行自定义。 例如,可以在级别 1 中使用设备配置策略,使用级别 3 中的应用策略。

选择适合你的组织的级别。 没有错误的选择。

级别 1 - 最低保护和配置

此级别至少包括每个组织都应具有的策略。 此级别的策略创建了安全功能的最低基线,并允许用户访问执行作业所需的资源。

应用 (级别 1)

此级别强制实施合理数量的数据保护和访问要求,同时尽量减少对用户的影响。 此级别可确保应用使用 PIN 和加密进行保护,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 此级别是一种入门级配置,可在Exchange Online邮箱策略中提供类似的数据保护控制。 它还向应用保护策略引入了 IT 和用户群体。

在此级别中,Microsoft 建议为应用配置以下保护和访问:

  • 启用基本数据保护要求:

    • 允许应用基本数据传输
    • 强制实施基本应用加密
    • 允许基本访问功能

  • 启用基本访问要求:

    • 需要 PIN、人脸 ID 和生物识别访问
    • 强制实施支持的基本访问设置

  • 启用基本条件应用程序启动:

    • 配置应用基本访问尝试
    • 基于越狱/root 权限的设备阻止应用访问
    • 基于设备的基本完整性限制应用访问

有关详细信息,请参阅 级别 1 基本应用保护

合规性 (级别 1)

在此级别中,设备符合性包括配置适用于所有设备的租户范围设置,以及将最低合规性策略部署到所有设备以强制实施一组核心合规性要求。 Microsoft 建议在允许设备访问组织资源之前,先设置这些配置。 级别 1 设备符合性包括:

符合性策略设置 是一些租户范围的设置,会影响 Intune 合规性服务与设备的工作方式。

特定于平台的符合性策略 包括跨平台通用主题的设置。 不同平台之间的实际设置名称和实现可能不同:

  • 仅需要防病毒、反间谍软件和反恶意软件 (Windows)
  • 操作系统版本:
    • 最大 OS 数
    • 最低 OS
    • 次要和主要内部版本
    • OS 修补程序级别
  • 密码配置
    • 在处于非活动状态一段时间后强制实施锁屏界面,需要密码或 PIN 才能解锁
    • 需要字母、数字和符号组合的复杂密码
    • 需要密码或 PIN 才能解锁设备
    • 需要最短密码长度

每个特定于平台的策略都会自动包含针对不符合的操作。 这些操作是配置的一个或多个按时间排序的操作,这些操作适用于不符合策略符合性要求的设备。 默认情况下,将设备标记为不符合是每个策略中包含的即时操作。

有关详细信息,请参阅 级别 1 - 最低设备符合性

设备配置 (级别 1)

在此级别中,配置文件包括侧重于安全性和资源访问的设置。 具体而言,在此级别中,Microsoft 建议配置以下功能:

  • 启用基本安全性,包括:

    • 防病毒和扫描
    • 威胁检测和响应
    • 防火墙
    • 软件更新
    • 强 PIN 和密码策略

  • 授予用户对网络的访问权限:

    • 电子邮件
    • 用于远程访问的 VPN
    • 本地访问的 Wi-Fi

有关此级别中这些策略的详细信息,请转到 步骤 4 - 创建设备配置文件来保护设备并创建与组织资源的连接

级别 2 - 增强的保护和配置

此级别扩展了最小策略集,以包括更多安全性并扩展移动设备管理。 此级别的策略保护更多功能,提供标识保护,并管理更多设备设置。

使用此级别中的设置添加你在级别 1 中完成的工作。

应用 (级别 2)

此级别建议为用户访问更敏感信息的设备提供标准级别的应用程序保护。 此级别引入了应用保护策略数据泄露防护机制和最低 OS 要求。 此级别是适用于大多数访问工作或学校数据的移动用户的配置。

除了级别 1 设置外,Microsoft 还建议为应用配置以下保护和访问权限:

  • 启用增强的数据保护要求:

    • 传输与组织相关的数据
    • (iOS/iPadOS) 免除所选应用的数据传输要求
    • 传输电信数据
    • 限制应用之间的剪切、复制和粘贴
    • 阻止屏幕捕获 (Android)

  • 启用增强的条件应用程序启动:

    • 阻止禁用应用程序帐户
    • 强制实施最低设备 OS 要求
    • 需要最低修补程序版本 (Android)
    • 需要 Android) (游戏完整性判断评估类型
    • 要求设备锁定 (Android)
    • 基于设备完整性的提高允许应用访问

有关详细信息,请参阅 级别 2 增强的应用保护

合规性 (级别 2)

在此级别,Microsoft 建议向合规性策略添加更复杂的选项。 此级别的许多设置都具有特定于平台的名称,所有这些名称都提供类似的结果。 下面是 Microsoft 建议你在可用时使用的类别或设置类型:

  • 应用:

    • 管理设备获取应用的位置,例如 Google Play for Android
    • 允许来自特定位置的应用
    • 阻止来自未知源的应用

  • 防火墙设置

    • macOS、Windows) (防火墙设置

  • 加密:

    • 要求对数据存储进行加密
    • BitLocker (Windows)
    • fileVault (macOS)

  • 密码

    • 密码过期和重复使用

  • 系统级文件和启动保护:

    • 阻止 usb 调试 (Android)
    • (Android、iOS) 阻止 root 或越狱设备
    • 需要 (macOS) 进行系统完整性保护
    • 要求 (Windows) 的代码完整性
    • 要求在 Windows) (启用安全启动
    • 受信任的平台模块 (Windows)

有关详细信息,请参阅 级别 2 - 增强的设备符合性设置

设备配置 (级别 2)

在此级别中,你将扩展在级别 1 中配置的设置和功能。 Microsoft 建议创建以下策略:

  • 通过在设备上启用磁盘加密、安全启动和 TPM,添加另一层安全性。
  • 将 PIN & 密码配置为过期并管理密码是否/何时可以重复使用。
  • 配置更精细的设备功能、设置和行为。
  • 如果有本地 GPO,则可以确定这些 GPO 在 Intune 中是否可用。

有关此级别的设备配置策略的更具体信息,请转到 级别 2 - 增强的保护和配置

级别 3 - 高保护和配置

此级别包括企业级策略,可能涉及组织中的不同管理员。 这些策略继续转向无密码身份验证,具有更高的安全性,并配置专用设备。

使用此级别的设置添加你在级别 1 和级别 2 中执行的操作。

应用 (级别 3)

此级别建议为用户访问更敏感信息的设备提供标准级别的应用程序保护。 此级别引入了高级数据保护机制、增强的 PIN 配置和应用保护策略移动威胁防御。 此配置适用于访问高风险数据的用户。

除了级别 1 和级别 2 设置外,Microsoft 还建议为应用配置以下保护和访问:

  • 启用高数据保护要求:

    • 传输电信数据时提供高保护
    • 仅从策略托管应用接收数据
    • 阻止将数据打开到组织文档
    • 允许用户从选定服务打开数据
    • 阻止第三方键盘
    • 要求/选择已批准的键盘 (Android)
    • 阻止打印组织数据

  • 启用高访问要求:

    • 阻止简单的 PIN,并需要特定的最小 PIN 长度
    • 需要在天数后重置 PIN
    • 需要第 3 类生物识别 (Android 9.0+)
    • 在 Android) (生物识别更新后,需要使用 PIN 替代生物识别

  • 启用高条件应用程序启动:

    • 要求设备锁定 (Android)
    • 需要允许的最大威胁级别
    • 需要最大 OS 版本

有关详细信息,请参阅 级别 3 高级应用保护

合规性 (级别 3)

在此级别,可以通过以下功能扩展 Intune 的内置合规性功能:

  • 将移动威胁防御 (MTD) 合作伙伴的数据集成

    • 使用 MTD 合作伙伴时,合规性策略可能要求设备达到或低于 设备威胁级别计算机风险分数(由该合作伙伴确定)

  • 将第三方合规性合作伙伴与 Intune 配合使用

  • 使用脚本将自定义符合性设置添加到策略中,这些设置在 Intune UI 中不可用。 (Windows、Linux)

  • 将合规性策略数据与条件访问策略结合使用,以限制对组织资源的访问

有关详细信息,请参阅 级别 3 - 高级设备符合性配置

设备配置 (级别 3)

此级别侧重于企业级服务和功能,可能需要基础结构投资。 在此级别中,可以创建以下策略:

  • 将无密码身份验证扩展到组织中的其他服务,包括基于证书的身份验证、应用单一登录、多重身份验证 (MFA) 和 Microsoft Tunnel VPN 网关。

  • 通过部署 Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) 来扩展 Microsoft Tunnel,这将 Tunnel 支持扩展到未在 Intune 中注册的 iOS 和 Android 设备。 MAM 隧道作为 Intune 加载项提供。

    有关详细信息,请参阅 使用 Intune Suite 加载项功能

  • 配置适用于 Windows 固件层的设备功能。 使用 Android 通用条件模式。

  • 使用适用于 Windows 本地管理员密码解决方案的 Intune 策略 (LAPS) 来帮助保护托管 Windows 设备上的内置本地管理员帐户。

    有关详细信息,请参阅 Intune 对 Windows LAPS 的支持

  • 通过使用 Endpoint Privilege Management (EPM) 来保护 Windows 设备,这有助于将组织的用户作为标准用户运行, (没有管理员权限) 同时使这些用户能够完成需要提升权限的任务。

    EPM 作为 Intune 加载项提供。 有关详细信息,请参阅 使用 Intune Suite 加载项功能

  • 配置专用设备,例如展台和共享设备。

  • 如果需要,请部署脚本。

有关此级别的设备配置策略的更具体信息,请转到 级别 3 - 高级保护和配置

后续步骤

有关可创建的所有设备配置文件的完整列表,请转到在设备上使用Microsoft Intune中的设备配置文件应用功能和设置