使用 Microsoft Intune 保护数据和设备

项目
02/14/2024

Microsoft Intune可以帮助你使托管设备保持安全和最新状态，同时帮助你保护组织的数据免受受攻击设备的影响。数据保护包括控制用户在托管和非托管设备上对组织数据执行的操作。数据保护还包括阻止来自可能被入侵的设备的数据访问。

本文重点介绍可与 Intune 集成的许多 Intune 内置功能和合作伙伴技术。随着你深入了解它们，你可以把它们组合在一起，在你的零信任环境之旅中形成更全面的解决方案。

从 Microsoft Intune 管理中心，Intune 支持运行 Android、iOS/iPad、Linux、macOS 以及 Windows 10 和 Windows 11 的托管设备。

使用 Configuration Manager 管理本地设备时，可以通过配置租户附加或共同管理将 Intune 策略扩展到这些设备。

Intune 还可以处理受第三方设备合规性和移动威胁防护产品管理的设备中的信息。

通过策略保护设备

部署 Intune 的终结点安全性、设备配置和设备符合性策略，以配置设备以满足组织的安全目标。策略支持一个或多个配置文件，这些配置文件是部署到已注册设备组的特定于平台的规则的离散集。

使用终结点安全策略，部署以安全为中心的策略，旨在帮助你专注于设备的安全性并降低风险。可用任务可帮助你识别有风险的设备，以修正这些设备，并将其还原到合规或更安全的状态。
使用设备配置策略，可以管理用于定义设备在组织中使用的设置和功能的配置文件。为设备配置终结点保护、预配证书进行身份验证、设置软件更新行为等。
使用设备合规性策略，可以为规定设备要求的不同设备平台创建配置文件。要求可以包括操作系统版本、磁盘加密的使用，或不超过威胁管理软件定义的特定威胁级别。

Intune 可以保护不符合策略的设备，并向设备用户发出警报，提醒其确保设备合规。

将条件访问添加到组合时，请配置仅允许合规设备访问网络和组织资源的策略。访问限制可以包括文件共享和公司电子邮件。条件访问策略也适用于与 Intune 集成的第三方设备合规性合作伙伴报告的设备状态数据。

下面是一些可以通过可用策略管理的安全设置和任务：

设备加密 - 在 Windows 10 设备上管理 BitLocker，并在 macOS 上管理 FileVault。
身份验证方法 - 配置设备对组织资源、电子邮件和应用程序的身份验证方式。
- 使用证书对应用程序、组织的资源进行身份验证，以及使用 S/MIME 对电子邮件进行签名和加密。当环境需要使用智能卡时，还可以设置派生凭据。
- 配置有助于限制风险的设置，如下所示：
  - 需要多重身份验证 (MFA) 来为用户添加额外的身份验证层。
  - 设置访问资源时必须满足的 PIN 和密码要求。
  - 为 Windows 10 设备启用 Windows Hello 企业版。
虚拟专用网络 (VPN) – 使用 VPN 配置文件，将 VPN 设置分配给设备，以便设备可以轻松连接到组织的网络。 Intune 支持多种 VPN 连接类型和应用，其中包括适用于某些平台的内置功能，以及适用于设备的第一方和第三方 VPN 应用。
软件更新 - 管理设备获得软件更新的方式和时间。支持以下各项：
- Android 固件更新：
  - 固件无线 (FOTA) - 某些 OEM 支持，你可以使用 FOTA 远程更新设备的固件。
  - Zebra LifeGuard 无线 (LG OTA) - 通过 Intune 管理中心管理支持的 Zebra 设备的固件更新。
- iOS - 管理设备操作系统版本，以及设备检查和安装更新的时间。
- macOS - 管理注册为受监督设备的 macOS 设备的软件更新。
- Windows 10，可以管理设备的Windows 更新体验。可以配置设备扫描或安装更新的时间、在特定的功能版本中保留一组受管理设备等。
安全基线 - 部署安全基线，以在Windows 10设备上建立核心安全态势。安全基线是相关产品团队推荐的预配置的 Windows 设置组。可以使用所提供的基线或编辑基线实例，以满足目标设备组的安全目标。

通过策略保护数据

Intune 管理的应用和 Intune 的应用保护策略可以帮助阻止数据泄露，并确保组织的数据安全。这些保护可以应用于已注册 Intune 的设备以及未注册的设备。

Intune 管理的应用（或简称“受管理应用”）是已经与 Intune App SDK 集成或由 Intune App Wrapping Tool 包装的应用。可以使用 Intune 应用保护策略来管理这些应用。若要查看公开可用的受管理应用的列表，请参阅受 Intune 保护的应用。

用户可以使用托管应用来处理组织的数据和他们自己的个人数据。但是，当应用保护策略要求使用托管应用时，托管应用是唯一可用于访问组织数据的应用。应用保护规则不适用于用户的个人数据。
应用保护策略是可确保组织数据在管理的应用中保持安全或受到控制的规则。这些规则确定了必须使用的受管理应用，并定义了在应用使用时可以对数据做什么。

以下是可以使用应用保护策略和受管理应用设置的保护和限制示例：

配置应用层保护，如要求在工作上下文中使用 PIN 打开应用。
控制在设备上的应用之间共享组织数据，例如阻止复制和粘贴或屏幕截图。
防止将组织的数据保存到个人存储位置。

使用设备操作来保护设备和数据

在Microsoft Intune管理中心，可以运行有助于保护所选设备的设备操作。可以将这些操作的子集作为批量设备操作运行，以同时影响多台设备。此外，Intune 中的一些远程操作也可用于共同管理的设备。

设备操作不是策略，在调用时一次生效。它们要么在设备可以联机访问时立即应用，要么在设备下一次启动或通过 Intune 签入时应用。可以将这些操作视为对用于为设备集合配置和维护安全配置的策略的补充。

以下是可以运行的有助于保护设备和数据的操作示例：

Intune 管理的设备：

BitLocker 密钥轮转（仅限 Windows）
禁用激活锁（仅限 iOS）
完全扫描或快速扫描（仅限 Windows 10）
远程锁定
停用 (，这会从设备中删除组织的数据，同时使个人数据保持不变)
更新 Microsoft Defender 安全智能
擦除（恢复设备出厂设置，删除所有数据、应用和设置）

Configuration Manager 管理的设备：

停用
擦除
同步（强制设备立即通过 Intune 签入，以查找新策略或挂起的操作）

与其他产品和合作伙伴技术集成

Intune 支持与来自第一方和第三方源的合作伙伴应用集成，这扩展了其内置功能。还可以将 Intune 与多项 Microsoft 技术集成。

合规性合作伙伴

了解如何将设备合规性合作伙伴与 Intune 配合使用。使用 Intune 以外的移动设备管理合作伙伴管理设备时，可以将该合规性数据与Microsoft Entra ID集成。集成后，条件访问策略可以使用来自 Intune 的合作伙伴数据以及合规性数据。

内容和功能，

可以使用多个 Intune 策略和设备操作来保护 Configuration Manager 管理的设备。若要支持这些设备，请配置共同管理或租户附加。也可以同时使用这两项配置和 Intune。

使用共同管理，可以使用 Configuration Manager 和 Intune 同时管理Windows 10设备。安装 Configuration Manager 客户端，并将设备注册到 Intune。设备与这两个服务通信。
使用租户附加，可以在 Configuration Manager 站点与 Intune 租户之间设置同步。此同步为使用 Microsoft Intune 管理的所有设备提供单个视图。

在 Intune 与 Configuration Manager 之间建立连接后，Configuration Manager中的设备可在 Microsoft Intune 管理中心中使用。然后，可以将 Intune 策略部署到这些设备上，或使用设备操作来保护它们。

可以应用的一些保护包括：

使用 Intune 简单证书注册协议 (SCEP) 或私钥和公钥对 (PKCS) 证书配置文件将证书部署到设备上。
使用合规性策略。
使用终结点安全策略，如“防病毒”、“终结点检测和响应”以及“防火墙”规则。
应用安全基线。
管理 Windows 更新。

移动威胁防御应用

移动威胁防御 (MTD) 应用主动对设备进行威胁扫描和分析。将移动威胁防御应用与 Intune 集成（连接）后，可以获得设备威胁级别的应用评估。评估设备威胁或风险级别是保护组织资源免受移动设备入侵的重要工具。然后，可以在各种策略（例如条件访问策略）中使用该威胁级别来帮助限制对这些资源的访问。

将威胁级别数据与设备合规性策略、应用保护策略和条件访问策略结合使用。这些策略使用数据来帮助阻止不合规的设备访问组织的资源。

使用集成的 MTD 应用，可以：

对于已注册的设备：
- 使用 Intune 在设备上部署并管理 MTD 应用。
- 部署设备合规性策略，这些策略使用设备报告的威胁级别来评估合规性。
- 定义考虑设备威胁级别的条件访问策略。
- 定义应用保护策略，根据设备的威胁级别确定何时阻止或允许访问数据。
对于未向 Intune 注册但运行与 Intune 集成的 MTD 应用的设备，请将其威胁级别数据与应用保护策略结合使用，以帮助阻止对组织数据的访问。

Intune 支持与以下对象集成：

多个第三方 MTD 合作伙伴。
Microsoft Defender For Endpoint（支持 Intune 的额外功能）。

Microsoft Defender for Endpoint

就其本身而言，Microsoft Defender for Endpoint 提供了多项侧重于安全的优势。 Microsoft Defender for Endpoint 还与 Intune 集成，并在多个设备平台上受支持。通过集成，可以获得移动威胁防御应用，并将功能添加到 Intune 中，以确保数据和设备安全。这些功能包括：

支持 Microsoft Tunnel - 在 Android 设备上，Microsoft Defender for Endpoint 是可用于 Microsoft Tunnel（即用于 Intune 的 VPN 网关解决方案）的客户端应用程序。用作 Microsoft Tunnel 客户端应用时，无需订阅Microsoft Defender for Endpoint。
安全任务 - 通过安全任务，Intune 管理员可以利用 Microsoft Defender for Endpoint 的威胁和漏洞管理功能。运作方式：
- Defender for Endpoint 团队在 Defender for Endpoint 安全中心内识别风险设备，并为 Intune 创建安全任务。
- 这些任务显示在 Intune 中，并带有 Intune 管理员可用来缓解风险的缓解建议。
- 当在 Intune 中解析任务时，相应状态会传递回 Defender for Endpoint 安全中心，在其中可以评估缓解结果。
终结点安全策略 - 以下 Intune 终结点安全策略需要与 Microsoft Defender for Endpoint 集成。当使用租户附加时，可以将这些策略部署到 Intune 或 Configuration Manager 管理的设备上。
- 防病毒策略 - 管理Microsoft Defender防病毒设置以及受支持设备上（如 Windows 10 和 macOS）上的Windows 安全中心体验。
- 终结点检测和响应策略 - 使用此策略配置终结点检测和响应 (EDR)，这是 Microsoft Defender for Endpoint 的功能。

条件访问

条件访问是一种Microsoft Entra功能，可与 Intune 配合使用，以帮助保护设备。对于注册到 Microsoft Entra ID 的设备，条件访问策略可以使用 Intune 中的设备和符合性详细信息来强制用户和设备做出访问决策。

将条件访问策略与以下策略结合使用：

设备符合性策略可能要求将设备标记为合规，然后该设备才能用于访问组织的资源。条件访问策略指定了要保护的应用或服务、可以访问应用或服务的条件，以及策略应用于的用户。
应用保护策略可以添加安全层，确保只有支持 Intune 应用保护策略的客户端应用才能访问联机资源，例如 Exchange 或其他 Microsoft 365 服务。

条件访问还用于以下应用或服务来帮助确保设备安全：

Microsoft Defender for Endpoint 和第三方 MTD 应用
设备合规性合作伙伴应用
Microsoft Tunnel

添加终结点特权管理

Endpoint Privilege Management (EPM) 允许你以标准用户的身份运行 Windows 用户，同时仅在需要时提升权限，这由组织设置的组织规则和参数设计。此设计支持强制实施最低特权访问，这是零信任安全体系结构的核心租户。 EPM 使 IT 团队能够更高效地管理标准用户，并通过仅允许员工以管理员身份运行特定的已批准应用程序或任务来限制其攻击面。

通常需要管理权限的任务包括应用程序安装 (，例如 Microsoft 365 应用程序) 、更新设备驱动程序以及运行某些 Windows 诊断。

通过部署定义的 EPM 提升规则 ，只能允许信任的应用程序在提升的上下文中运行。例如，规则可能要求 文件哈希 匹配或存在证书来验证文件的完整性，然后才能在设备上运行文件。

提示

Endpoint Privilege Management 作为 Intune 加载项提供，需要额外的许可证才能使用，并支持Windows 10和Windows 11设备。

有关详细信息，请参阅 Endpoint Privilege Management。

后续步骤

计划使用 Intune 的功能，通过保护数据和设备来支持零信任环境之旅。除了前面的内联链接之外，若要详细了解这些功能，请了解 Intune 中的数据安全和共享。