Microsoft Intune 的零信任
零信任 是一种安全策略,用于设计和实现以下一组安全原则:
显式验证 | 使用最小特权 | 假定漏洞 |
---|---|---|
始终根据所有可用的数据点进行身份验证和授权。 | 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 | 最小化爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。 |
零信任的设备与应用程序身份验证、授权和保护
可以使用 Intune 保护组织拥有和用户个人设备上的访问和数据,并具有支持零信任的合规性和报告功能。
零信任原则 | Intune 如何提供帮助 |
---|---|
显式验证 | Intune 允许为应用、安全设置、设备配置、合规性、Microsoft Entra 条件访问等配置策略。 这些策略成为访问资源的身份验证和授权过程的一部分。 |
使用最小特权 | Intune 通过内置的应用体验(包括应用部署、更新和删除)简化了应用管理。 你可以连接到专用应用商店并从中分发应用,启用 Microsoft 365 应用,部署 Win32 应用,创建应用保护策略,以及管理对应用及其数据的访问权限。
使用 Endpoint Privilege Management (EPM) ,可以将组织的用户作为标准用户运行, (没有管理员权限) ,同时使这些用户能够完成需要提升权限的任务。 Windows 本地管理员密码解决方案的 Intune 策略 (LAPS) 可以帮助你保护 Windows 设备上的本地管理员帐户。 由于无法删除本地管理员帐户,并且对设备具有完全权限,因此能够管理内置 Windows 管理员帐户是保护组织的重要步骤。 |
假定漏洞 | Intune 与移动威胁防御服务(包括 Microsoft Defender for Endpoint 和第三方合作伙伴服务)集成。 借助这些服务,可以创建用于响应威胁的终结点保护策略、执行实时风险分析以及自动修正。 |
后续步骤
详细了解零信任以及如何使用 零信任指导中心构建企业级策略和体系结构。
有关以设备为中心的概念和部署目标,请参阅 使用零信任保护终结点。
对于 Microsoft 365 中的 Intune,请参阅 使用 Intune 概述管理设备。
详细了解其他Microsoft 365 功能,这些功能有助于使用 Microsoft 365 部署计划实现强大的零信任策略和体系结构。