使用Microsoft Intune零信任
零信任是用于设计和实现以下安全原则集的安全策略:
| 显式验证 | 使用最小特权 | 假定漏洞 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 | 最小化爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。 |
设备和应用程序身份验证、授权和保护零信任
可以使用 Intune 保护组织拥有和用户个人设备上的访问和数据,并具有支持零信任的合规性和报告功能。
| 零信任原则 | Intune 如何提供帮助 |
|---|---|
| 显式验证 | Intune 允许为应用、安全设置、设备配置、合规性Microsoft Entra条件访问等配置策略。 这些策略成为访问资源的身份验证和授权过程的一部分。 |
| 使用最小特权 | Intune 通过内置的应用体验(包括应用部署、更新和删除)简化了应用管理。 你可以连接到专用应用商店并从中分发应用,启用 Microsoft 365 应用,部署 Win32 应用,创建应用保护策略,以及管理对应用及其数据的访问。 使用 Endpoint Privilege Management (EPM) ,可以将组织的用户作为标准用户运行, (没有管理员权限) ,同时使这些用户能够完成需要提升权限的任务。 Windows 本地管理员密码解决方案的 Intune 策略 (LAPS) 可以帮助你保护 Windows 设备上的本地管理员帐户。 由于无法删除本地管理员帐户,并且对设备具有完全权限,因此能够管理内置 Windows 管理员帐户是保护组织的重要步骤。 |
| 假定漏洞 | Intune 与移动威胁防御服务(包括Microsoft Defender for Endpoint和第三方合作伙伴服务)集成。 借助这些服务,可以创建用于响应威胁的终结点保护策略、执行实时风险分析以及自动修正。 |
后续步骤
详细了解零信任以及如何使用 零信任 指导中心构建企业级策略和体系结构。
有关以设备为中心的概念和部署目标,请参阅使用零信任保护终结点
对于 Microsoft 365 中的 Intune,请参阅 使用 Intune 概述管理设备。
详细了解其他 Microsoft 365 功能,这些功能有助于通过 Microsoft 365 零信任部署计划实现强大的零信任策略和体系结构。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈