為零信任設定Microsoft Intune：裝置上的安全資料 (預覽)

保護行動應用程式與網路間的敏感性資料是零信任策略的關鍵部分。 以下 Intune 建議反映 Microsoft 的安全未來計畫，透過執行安全存取、保護資訊並降低跨平台風險。 這些檢查透過應用保護、確保裝置合規性及確保企業網路連線，有助於保護企業資料安全。

零信任安全建議

Android 上的資料受應用程式保護政策保護

若沒有應用程式保護政策，企業在 Android 裝置上存取的資料容易受到未經管理或惡意應用程式的洩漏風險。 使用者可能無意中將敏感資訊複製到個人應用程式中、不安全地儲存資料，或繞過認證控制。 這種風險在未完全管理的裝置上會被放大，因為企業與個人情境共存，增加了資料外洩或未經授權存取的可能性。

執行應用程式保護政策確保企業資料僅能透過受信任的應用程式存取，且即使在個人或自帶裝置的 Android 裝置上也能受到保護。

這些政策強制加密、限制資料分享並要求認證，降低資料外洩風險，並符合零信任的資料保護與條件存取原則。

補救動作

部署 Intune 應用程式保護政策，對資料加密、限制分享，並要求核准的 Android 應用程式必須進行認證：

• 部署 Intune 應用程式保護政策
• 請參考 Android 應用程式保護設定的參考資料

如需詳細資訊，請參閱：

• 了解如何使用應用程式保護政策

iOS/iPadOS 上的資料受應用程式保護政策保護

若沒有應用程式保護政策，企業在 iOS/iPadOS 裝置上存取的資料，容易因未受管理或個人應用程式而外洩。 使用者可能無意間將敏感資訊複製到未加密的應用程式中，將資料儲存在企業邊界之外，或繞過認證控制。 此風險在 BYOD 裝置中尤其高，因為個人與工作情境共存，增加了資料外洩或未經授權存取的可能性。

應用程式防護政策確保企業資料在核准應用程式中安全，即使是在個人裝置上。 這些政策強制加密、限制資料分享並要求認證，降低資料外洩風險，並符合零信任的資料保護與條件存取原則。

補救動作

部署 Intune 應用程式保護政策，加密企業資料、限制分享，並要求在核准的 iOS/iPadOS 應用程式中進行認證：

• 部署 Intune 應用程式保護政策
• 請參考 iOS 應用程式保護設定的參考資料

如需詳細資訊，請參閱：

• 了解如何使用應用程式保護政策

條件存取政策阻擋未受管理應用程式的存取

如果 Microsoft Entra 條件存取政策未與應用程式保護控制結合，使用者可能會透過未受管理或不安全的應用程式連接企業資源。 這使敏感性資料面臨資料外洩、未經授權存取及法規不合規等風險。 若沒有應用程式層級的資料保護、存取限制及資料遺失防護等防護措施，威脅行為者便能利用未受保護的應用程式繞過安全控管，入侵組織資料。

在條件存取中強制執行 Intune 應用程式保護政策，確保只有受信任的應用程式能存取企業資料。 這支持零信任，透過執行基於應用程式信任度、資料控制與使用限制的存取決策。

補救動作

在 Microsoft Entra 和 Intune 中設定基於應用程式的條件存取政策，要求對企業資源的存取進行應用程式保護：

• 使用 Intune 設定基於應用程式的條件存取政策

如需詳細資訊，請參閱：

• 何謂條件式存取？(部分機器翻譯)
• 透過 Intune 了解基於應用程式的條件存取政策

條件存取政策阻擋不合規裝置的存取

如果 Microsoft Entra 條件存取政策無法強制裝置合規，使用者可能會從不符合安全標準的裝置連接到企業資源。 這會使敏感性資料暴露於惡意軟體、未經授權存取及法規不合規等風險之下。 若缺乏加密執行、裝置健康檢查及存取限制等控制措施，威脅行為者便能利用不合規裝置繞過安全措施，維持持續性。

條件存取政策要求裝置合規，確保只有受信任且安全的裝置才能存取企業資源。 這支持零信任，透過根據裝置健康狀況與合規態勢執行存取決策。

補救動作

在 Microsoft Entra 中設定條件存取政策，要求在授權企業資源存取前必須符合裝置規範：

• 建立基於裝置合規性的條件存取政策

如需詳細資訊，請參閱：

• 何謂條件式存取？(部分機器翻譯)
• 將裝置合規結果與條件存取整合

安全的 Wi-Fi 設定檔保護 iOS 裝置免於未經授權的網路存取

如果 Wi-Fi 設定檔未正確配置與指派，使用者可能會不安全連線或無法連接受信任的網路，導致企業資料暴露於攔截或未經授權存取的風險。 若無集中管理，裝置需手動設定，增加錯誤設定、驗證薄弱及與流氓網路連線的風險。

在Intune集中管理 iOS 裝置的 Wi-Fi 設定檔，確保與企業網路的安全且一致的連線。 此舉強化認證與加密標準，簡化新手接入流程，並透過降低對不受信任網路的風險，支持零信任。

補救動作

使用Intune設定並指派 iOS/iPadOS 裝置的安全 Wi-Fi 設定檔，以強制執行認證與加密標準：

• 將 Wi-Fi 設定檔部署到Microsoft Intune

如需詳細資訊，請參閱：

• 請檢視 iOS 和 iPadOS 裝置的可用 Wi-Fi 設定Microsoft Intune

安全 Wi-Fi 設定檔保護 macOS 裝置免於未經授權的網路存取

如果 Wi-Fi 設定檔未正確配置與指派，macOS 裝置可能無法連接安全網路或連線不安全，導致企業資料暴露於攔截或未經授權存取的風險。 若無集中管理，裝置需手動設定，增加錯誤設定、驗證薄弱及與流氓網路連線的風險。 這些缺口可能導致資料攔截、未經授權的網路存取及違規行為。

在 Intune 集中管理 macOS 裝置的 Wi-Fi 設定檔，確保與企業網路的安全且一致的連線。 此舉強化認證與加密標準，簡化新手接入流程，並透過降低對不受信任網路的風險，支持零信任。

補救動作

使用 Intune 來設定並指派安全 Wi-Fi 設定檔給 macOS 裝置，以強制認證與加密標準：

• 在 Intune 中為 macOS 裝置設定 Wi-Fi

如需詳細資訊，請參閱：

• 請在Microsoft Intune中檢視 macOS 裝置可用的 Wi-Fi 設定

安全的 Wi-Fi 設定檔保護 Android 裝置免受未經授權的網路存取

如果 Wi-Fi 設定檔未正確配置與指派，Android 裝置可能無法連接安全網路或連線不安全，導致企業資料暴露於攔截或未經授權存取的風險。 若無集中管理，裝置需手動設定，增加錯誤設定、驗證薄弱及與流氓網路連線的風險。

在 Intune 集中管理 Android 裝置的 Wi-Fi 設定檔，確保與企業網路的安全且一致的連線。 此舉強化認證與加密標準，簡化新手接入流程，並透過降低對不受信任網路的風險，支持零信任。

利用Intune設定安全 Wi-Fi 設定檔，強制認證與加密標準。

補救動作

使用 Intune 為 Android 裝置設定並指派安全的 Wi-Fi 設定檔，以強制執行認證與加密標準：

• 將 Wi-Fi 設定檔部署到Microsoft Intune

如需詳細資訊，請參閱：

• 請檢視 Android 裝置可用的 Wi-Fi 設定Microsoft Intune

相關內容

• Microsoft Intune 部署指南
• 使用 Microsoft Intune 保護資料和裝置
• 設定Microsoft Entra以提升安全性 (預覽)