使用 Intune 管理裝置概觀
企業層級安全性的核心元件包括管理和保護裝置。 無論您要建立零信任安全性結構、強化您的環境以防範勒索軟體,或是建立保護以支援遠端工作者,管理裝置都是策略的一部分。 雖然 Microsoft 365 包含數種管理和保護裝置的工具和方法,但本指引會逐步說明 Microsoft 使用 Microsoft Intune 的建議。 此指引適用於以下條件:
- 規劃透過 Microsoft Entra 加入 (將裝置註冊到 Intune,包括 Microsoft Entra 混合式加入) 。
- 規劃將裝置手動註冊到 Intune。
- 允許具有計劃為應用程式和資料執行保護的 BYOD 裝置,以及/或註冊這些裝置到 Intune 中。
另一方面,如果您的環境包含共同管理方案,包括 Microsoft Configuration Manager,請參閱共同管理檔,為您的組織開發最佳路徑。 如果您的環境包含適用於 Windows 365 雲端電腦的方案,請參閱 Windows 365 企業版文件,為您的組織開發最佳路徑。
觀看這段影片以獲取部署程序概觀。
為什麼要管理端點?
現代企業具有令人難以置信的端點多樣性來存取其資料。 此設定會建立大量的受攻擊面,因此端點可以輕易成為零信任安全性策略中最薄弱的環節。
隨著全球移轉到遠端或混合式工作模型,使用者可以從任何地方、使用任何裝置工作,這比歷史上任何時候都多,這主要是因為必要性。 攻擊者正在快速調整策略,以利用此變更。 許多組織在瀏覽這些新的商業挑戰時,都面臨資源受限的問題。 幾乎在一夜之間,公司已加速數位轉型。 簡單來說,人員的工作方式已變更。 我們不再預期只會從辦公室和公司擁有的裝置上存取各種公司資源。
取得存取公司資源的端點可見度是零信任裝置策略的第一個步驟。 一般來說,公司會主動保護電腦不受弱點和攻擊,而行動裝置通常不受監視和保護。 為了確保您的資料不會暴露在風險中,我們需要監視每個端點的風險,並採用細微存取控制,根據組織政策來提供適當的存取層級。 例如,如果個人裝置已越獄,您可以封鎖存取,以確保企業應用程式不會暴露在已知的弱點中。
這系列文章會逐步說明管理存取您資源之裝置的建議流程。 如果您遵循建議的步驟,貴組織將會針對您的裝置及其存取的資源達成非常複雜的保護。
在裝置上和針對裝置執行保護層
保護裝置上的資料和應用程式以及裝置本身是一個多層的流程。 您可以在未管理裝置上獲得一些保護。 將裝置註冊到管理中之後,您可以執行更複雜的控制措施。 當您跨端點部署威脅防護時,您可以取得更多深入資訊,以及自動補救某些攻擊的能力。 最後,如果您的組織已將工作放在識別敏感數據、套用分類和標籤,以及設定 Microsoft Purview 資料外洩防護 原則,您可以為端點上的數據取得更細微的保護。
下圖說明針對 Microsoft 365 以及您引進至此環境的其他 SaaS 應用程式,達成零信任安全性態勢的建置組塊。 與裝置相關的元素編號為 1 到 7。 裝置系統管理員會與其他系統管理員協調,以完成這些層級的保護。
在此圖例中:
| 步驟 | 描述 | 授權需求 | |
|---|---|---|---|
| 1 | 設定起點零信任身分識別與裝置存取原則 | 請與身分識別系統管理員合作,以實作層級 2 應用程式保護原則 (APP) 資料保護。 這些原則不需要您管理裝置。 您可以在 Intune 中設定 APP 原則。 您的身分識別系統管理員將條件式存取原則設定為需要核准的應用程式。 | E3、E5、F1、F3、F5 |
| 2 | 使用 Intune 註冊裝置 | 此工作需要更多規劃和時間來執行。 Microsoft 建議使用 Intune 註冊裝置,因為此工具提供了最佳整合。 註冊裝置有多個選項,具體取決於平台。 例如,您可以使用 Microsoft Entra 加入或使用 Autopilot 來註冊 Windows 裝置。 您需要檢閱每個平台的選項,並决定哪個註冊選項最適合您的環境。 請參閱 步驟 2。將裝置註冊至 Intune 以了解更多資訊。 | E3、E5、F1、F3、F5 |
| 3 | 設定合規性原則 | 您希望確保存取應用程式和資料的裝置符合最低需求,例如,裝置使用密碼或 PIN 保護,且作業系統為最新狀態。 合規性原則是定義裝置必須符合之需求的方式。 步驟 3。設定合規性原則可協助設定這些原則。 | E3、E5、F3、F5 |
| 4 | 設定企業 (建議) 零信任身分識別與裝置存取原則 | 現在您的裝置已註冊,您可以與身分識別系統管理員合作,調整條件式存取原則,以要求使用良好且符合規範的裝置。 | E3、E5、F3、F5 |
| 5 | 部署組態設定檔 | 相對於只根據您設定的準則將裝置標記為符合規範或不符合規範的裝置合規性原則,組態設定檔實際上會變更裝置上的設定。 您可以使用設定原則來強化裝置對網路威脅的抵禦。 請參閱步驟 5。部署組態設定檔。 | E3、E5、F3、F5 |
| 6 | 監視裝置風險和安全性基準的合規性 | 在此步驟中,您將 Intune 連線到適用於端點的 Microsoft Defender。 有了這項整合,您接著就可以監視裝置風險,做為存取的條件。 發現處於有風險狀態的裝置會遭到封鎖。 您也可以使用安全性基準監視合規性。 請參閱步驟 6。監視裝置風險和安全性基準的合規性。 | E5、F5 |
| 7 | 使用資訊保護功能來執行資料外洩防護 (DLP) | 如果您的組織已經將工作放在識別敏感性資料和標記文件,您可以與資訊保護系統管理員合作,保護您裝置上的敏感性資訊與文件。 | E5、F5 合規性附加元件 |
使用零信任身分識別與裝置存取原則協調端點管理
本指引與建議的零信任身分識別與裝置存取原則緊密協調。 您將與身分識別小組合作,以在 Microsoft Entra ID 中對條件式存取原則進行 Intune 設定的保護。
以下是建議的原則集合,其中包含您將在 Intune 中執行之工作的步驟圖說文字,以及您將協助協調 Microsoft Entra ID 的相關條件式存取原則。
在此圖例中:
- 在步驟 1 中,執行層級 2 應用程式保護原則 (APP) 設定 APP 原則的建議資料保護層級。 然後,您可以與身分識別小組合作,將相關的條件式存取規則設定為需要使用此保護。
- 在步驟 2、3 和 4 中,您將裝置註冊為使用 Intune 管理、定義裝置合規性原則,然後與身分識別小組協調,將相關的條件式存取規則設定為只允許存取符合規範的裝置。
註冊裝置與將裝置上線
如果您遵循本指引,您將使用 Intune 註冊裝置以進行管理,並將裝置上線以取得下列Microsoft 365 功能:
- 適用於端點的 Microsoft Defender
- Microsoft Purview (適用於端點資料外洩防護 (DLP))
下圖詳細介紹了如何使用 Intune 進行此作業。
在此圖例中:
- 使用 Intune 將裝置註冊到管理。
- 使用 Intune 將裝置上線至適用於端點的 Defender。
- 上線到適用於端點的 Defender 的裝置也上線了 Microsoft Purview 功能,包括端點 DLP。
請注意,只有 Intune 在管理裝置。 上線指的是裝置與特定服務共用資訊的能力。 下表彙總了將裝置註冊到特定服務之管理裝置和登入裝置之間的差異。
| 註冊 | 上線 | |
|---|---|---|
| 說明 | 註冊適用於管理裝置。 裝置藉由 Intune 或 Configuration Manager 註冊管理。 | 上線將裝置設定為使用 Microsoft 365 中的一組特定功能。 目前,上線適用於適用於端點的 Microsoft Defender 和 Microsoft 合規性功能。 在 Windows 裝置上,上線涉及切換 Windows Defender 中的設定,該設定允許 Defender 連線到線上服務並接受適用於該裝置的原則。 |
| 範圍 | 這些裝置管理工具管理整個裝置,包括設定裝置以滿足特定目標,如安全性。 | 上線僅影響適用的服務。 |
| 推薦方法 | Microsoft Entra 加入會自動將裝置註冊到 Intune。 | Intune 是適用於端點的 Windows Defender 上線裝置的慣用方法,因此也是 Microsoft Purview 功能的慣用方法。 請注意,使用其他方法上線以Microsoft Purview 功能的裝置不會自動註冊適用於端點的Defender。 |
| 其他方法 | 其他註冊方法取決於裝置的平臺,以及它是 BYOD 還是由您的組織管理。 | 按建議的順序,其他將裝置上線的方法包括: |
適用於系統管理員的學習
下列資源可協助系統管理員瞭解使用 Intune的概念。
使用 Microsoft Intune 訓練模組簡化裝置管理
了解透過 Microsoft 365 的商務管理解決方案如何為人員提供安全、個人化的桌面體驗,並透過簡化的管理體驗協助組織輕鬆管理所有裝置的更新。
-
Microsoft Intune 可協助您保護組織人員用來提高生產力的裝置、應用程式和數據。 本文說明如何設定 Microsoft Intune。 安裝程式包括檢閱支援的設定、註冊 Intune、新增使用者和群組、將授權指派給使用者、授與管理員許可權,以及設定行動 裝置管理 (MDM) 授權單位。
下一步
移至 步驟 1。實作應用程式保護原則。