保护托管和非托管设备
安全策略的一个重要部分是保护员工用于访问公司数据的设备。 此类设备包括计算机、平板电脑和手机。 组织的 IT 或安全团队以及设备用户可以采取措施保护数据以及托管或非托管设备。
- 托管设备 通常是公司拥有的设备,通常由公司的 IT 或安全团队设置和配置。
- 非托管设备(也称为自带设备或 BYOD)往往是员工设置和使用的个人拥有的设备。 非托管设备可以加入和保护,就像托管设备一样。 或者,如果你愿意,用户可以采取措施保护其 BYOD 设备本身。
为了保护托管设备,组织的 IT 或安全团队可以:
- 使用 Windows Autopilot 使用户的 Windows 设备可供首次使用。 使用 Autopilot,可以在设备提供给用户之前安装业务关键应用、应用策略和启用 BitLocker 等功能。 还可以使用 Autopilot 重置、重新调整和恢复 Windows 设备。 若要了解详细信息,请参阅 Windows Autopilot。
- 将 Windows 设备从以前版本的 Windows 升级到 Windows 10 专业版 或 Windows 11 专业版。 在加入之前,Windows 客户端设备应运行Windows 10 专业版或企业版,或者Windows 11 专业版或企业版。 如果你的组织有运行 Windows 7 专业版、Windows 8 专业版或Windows 8.1 专业版的 Windows 设备,则你的Microsoft 365 商业高级版订阅有权免费升级这些设备。 若要了解详细信息,请参阅将 Windows 设备升级到 Windows 10 或 11 专业版。
- 加入设备并使用 移动威胁防御 功能保护设备。 Microsoft Defender 商业版包含在 Microsoft 365 商业高级版 中。 它包括针对勒索软件、恶意软件、网络钓鱼和其他威胁的高级防护。 如果希望改用 Microsoft Intune,可以使用Intune来注册和管理设备。 若要了解详细信息,请参阅将设备载入到Microsoft Defender 商业版。
- 在Microsoft Defender门户中查看和监视设备运行状况 (https://security.microsoft.com) 。 可查看所有已载入设备的运行状况和暴露级别等详细信息。 还可以执行操作,例如运行防病毒扫描或在检测到威胁或漏洞的设备上启动自动调查。 若要了解详细信息,请参阅监视已载入设备和查看检测到的威胁。
在保护受管理设备方面,用户可以:
- 使用 Microsoft Authenticator 应用登录。 Microsoft Authenticator 应用适用于使用多重身份验证 (MFA) 的所有帐户。 若要了解详细信息,请参阅 下载并安装 Microsoft Authenticator 应用。
- 将其设备加入组织的网络。 用户可以按照流程注册其设备、设置 MFA,并使用其帐户完成登录过程。 若要了解详细信息,请参阅 将工作设备加入工作或学校网络。
- 请确保所有设备上已安装防病毒/反恶意软件并处于最新状态。 载入设备后,会为这些设备配置防病毒、反恶意软件和其他威胁防护功能。 用户传入更新时,系统会提示他们安装更新。 若要了解详细信息,请参阅 使电脑保持最新状态。
若要详细了解如何保护托管设备,请参阅 设置和保护托管设备。