保護您的 Intune 租戶對於執行零信任原則及維持安全、良好管理的環境至關重要。 這些建議與 Microsoft 的安全未來倡議 相符,透過限制爆炸半徑並透過分段管理控制、安全裝置上線及政策驅動的保護,強制執行最低權限存取。 這些平台共同幫助降低風險、維持租戶衛生,並強化跨平台的合規。
零信任安全建議
範圍標籤設定是為了支援委派管理與最低權限存取而強制執行
若 Intune 範圍標籤未妥善配置以授權管理,攻擊者若取得 Intune 或 Microsoft Entra ID 的特權存取權,便可升級權限並存取租戶間的敏感裝置設定。 若沒有細緻範圍標籤,管理邊界不明確,攻擊者便能橫向移動、操控裝置政策、竊取設定資料,或向所有使用者與裝置部署惡意設定。 一個被入侵的管理員帳號都可能影響整個環境。 缺乏授權管理也削弱了最弱特權的存取權,使得遏止違規行為與執行問責變得困難。 攻擊者可能會利用全域管理員角色或錯誤設定的角色基礎存取控制 (RBAC) 分配,繞過合規政策,取得對裝置管理的廣泛控制權。
強制執行範圍標籤、區分管理存取,並將其與組織邊界對齊。 這限制了被入侵帳戶的傳播範圍,支持最低權限存取,並符合零信任的分群、角色控制與控制原則。
補救動作
使用 Intune 範圍標籤與 RBAC 角色,根據角色、地理位置或事業單位限制管理員存取權限:
裝置註冊通知會被強制執行,以確保使用者的知情與安全入職
若沒有裝置註冊通知,使用者可能不知道自己的裝置已被註冊在 Intune 中——尤其是在未經授權或意外註冊的情況下。 這種缺乏可視性會延遲使用者對可疑活動的回報,並增加未受管理或被入侵裝置存取企業資源的風險。 攻擊者若取得使用者憑證或利用自我註冊流程,能悄悄上線裝置,繞過用戶監控,實現資料外洩或橫向移動。
註冊通知讓使用者能更清楚地掌握裝置上線活動。 它們協助偵測未經授權的註冊,強化安全的配置實務,並支持零信任原則的可見性、驗證與使用者參與。
補救動作
設定 Intune 註冊通知,提醒使用者裝置註冊並強化安全的入職流程:
Windows 自動裝置註冊被強制執行,以消除未受管理端點帶來的風險
如果沒有啟用 Windows 自動註冊,未受管理的裝置就可能成為攻擊者的入侵點。 威脅行為者可能利用這些裝置存取企業資料、繞過合規政策,並在環境中引入漏洞。 未註冊 Intune 的裝置加入 Microsoft Entra 會造成可見性與控制上的落差。 這些未受管理的端點可能暴露作業系統的弱點或錯誤配置的應用程式,攻擊者可利用這些漏洞。
強制執行自動註冊確保 Windows 裝置從一開始就被管理,進而持續執行政策並取得合規透明度。 這支持零信任,確保所有裝置都經過驗證、監控,並受到安全控管。
補救動作
啟用使用 Intune 和 Microsoft Entra 的 Windows 裝置自動註冊,以確保所有網域加入或 Entra 加入的裝置都受到管理:
如需詳細資訊,請參閱:
合規政策保護 Windows 裝置
若未設定並指派 Windows 裝置的合規政策,威脅行為者便可利用未受管理或不合規的端點,取得企業資源的未經授權存取權,繞過安全控管,並在環境中持續存在。 若不強制合規,裝置可能缺乏關鍵的安全配置,如 BitLocker 加密、密碼要求、防火牆設定及作業系統版本控制。 這些缺口增加了資料外洩、權限升級及橫向移動的風險。 裝置合規不一致會削弱組織的安全態勢,並使在重大損害發生前更難偵測與修復威脅。
執行合規政策確保 Windows 裝置符合核心安全要求,並透過驗證裝置健康並減少對錯誤設定端點的風險,支持零信任。
補救動作
建立並指派 Intune 合規政策給 Windows 裝置,以強制執行組織安全存取與管理標準:
合規政策保護 macOS 裝置
若 macOS 裝置的合規政策未被設定與指派,威脅行為者便可利用未受管理或不合規的端點,取得企業資源的未經授權存取權,繞過安全控管,並在環境中持續存在。 若不強制合規,macOS 裝置可能缺乏關鍵的安全配置,如資料儲存加密、密碼要求及作業系統版本控制。 這些缺口增加了資料外洩、權限升級及橫向移動的風險。 裝置合規不一致會削弱組織的安全態勢,並使在重大損害發生前更難偵測與修復威脅。
執行合規政策確保 macOS 裝置符合核心安全要求,並透過驗證裝置健康並減少對錯誤端點的暴露,支持零信任。
補救動作
建立並指派 Intune 合規政策給 macOS 裝置,以強制執行組織安全存取與管理的標準:
合規政策保護完全管理且由企業擁有的 Android 裝置
若 Intune 未為完全管理的 Android 企業級裝置指派合規政策,威脅行為者便可利用不合規端點,未經授權存取企業資源、繞過安全控管,並在環境中持續存在。 若不強制合規,裝置可能缺乏關鍵的安全配置,如密碼要求、資料儲存加密及作業系統版本控制。 這些缺口增加了資料外洩、權限升級及橫向移動的風險。 裝置合規不一致會削弱組織的安全態勢,並使在重大損害發生前更難偵測與修復威脅。
執行合規政策確保 Android 企業裝置符合核心安全要求,並透過驗證裝置健康並降低對錯誤配置或未管理端點的風險,支援零信任。
補救動作
為完全管理及企業擁有的 Android 企業設備建立並指派 Intune 合規政策,以執行組織安全存取與管理的標準:
合規政策保護個人擁有的 Android 裝置
若 Intune 未為 Android 企業個人擁有的裝置設定合規政策,威脅行為者便可利用不合規端點,未經授權存取企業資源、繞過安全控管,並引入漏洞。 若不強制合規,裝置可能缺乏關鍵安全配置,如密碼要求、資料儲存加密及作業系統版本控制。 這些缺口增加了資料外洩與未經授權存取的風險。 裝置合規不一致會削弱組織的安全態勢,並使在重大損害發生前更難偵測與修復威脅。
執行合規政策確保個人擁有的 Android 裝置符合核心安全要求,並透過驗證裝置健康並減少對配置錯誤或未管理端點的風險,支持零信任。
補救動作
為 Android 企業個人擁有的裝置建立並指派 Intune 合規政策,以執行組織安全存取與管理的標準:
合規政策保護 iOS/iPadOS 裝置
如果 Intune 中未為 iOS/iPadOS 裝置設定合規政策,威脅行為者便能利用不合規端點,未經授權存取企業資源、繞過安全控管,並在環境中持續存在。 若不強制合規,裝置可能缺乏關鍵的安全配置,如密碼要求與作業系統版本控制。 這些缺口增加了資料外洩、權限升級及橫向移動的風險。 裝置合規不一致會削弱組織的安全態勢,並使在重大損害發生前更難偵測與修復威脅。
執行合規政策確保 iOS/iPadOS 裝置符合核心安全要求,並透過驗證裝置健康並減少對配置錯誤或未管理端點的風險,支持零信任。
補救動作
為 iOS/iPadOS 裝置建立並指派 Intune 合規政策,以強制執行組織安全存取與管理的標準:
平台單點點(Platform SSO)設定以強化 macOS 裝置的認證
若 macOS 裝置未強制執行平台單點單點政策,端點可能會依賴不安全或不一致的認證機制,讓攻擊者能繞過條件存取與合規政策。 這為雲端服務與本地資源之間的橫向移動開啟了大門,尤其是在使用聯邦身份時。 威脅行為者可能利用被竊的憑證或快取憑證,透過未受管理的應用程式或瀏覽器會話外洩敏感性資料。 缺乏SSO強制執行也削弱了應用程式保護政策與裝置狀態評估,使得偵測與控制外洩變得困難。 最終,未能設定並指派 macOS 平台單點單點(SSO)政策,會危及身份安全,並削弱組織的零信任態勢。
在 macOS 裝置上執行平台單點單點(Platform SSO)政策,確保應用程式與服務間的認證一致性與安全。 此舉強化身份保護,支持條件存取的執行,並透過減少對本地憑證的依賴及改善態勢評估,與零信任理念相符。
補救動作
使用 Intune 為 macOS 裝置設定並指派平台單點點(Platform SSO)政策,以強制安全驗證並強化身份保護,詳見:
- 在 Intune 中設定 macOS 平台單點單點 – 啟用 macOS 裝置平台單點登入的逐步指引。
- 單一登入 (SSO) Microsoft Intune 蘋果裝置的概覽與選項 – 蘋果平台可用的單點登入選項概覽。
Defender for Endpoint 的自動註冊是為了降低未受管理的 Android 威脅風險
如果 Intune 中沒有為 Android 裝置設定自動註冊 適用於端點的 Microsoft Defender,受管理端點可能會無法抵禦行動威脅。 若沒有 Defender 導引,裝置缺乏先進的威脅偵測與應變能力,增加了惡意軟體、網路釣魚及其他行動攻擊的風險。 未受保護的裝置可能繞過安全政策,存取企業資源,並暴露敏感性資料於外洩風險。 行動威脅防禦的這一落差削弱了組織的零信任態勢,並降低了對端點健康狀況的可視性。
啟用自動 Defender 註冊,確保 Android 裝置受到先進的威脅偵測與回應能力保護。 這支持零信任,透過執行行動威脅防護、提升可視性,並減少未受管理或被入侵端點的風險。
補救動作
使用 Intune 設定自動註冊至 適用於端點的 Microsoft Defender for Android 裝置,以強制行動威脅防護:
裝置清理規則透過隱藏非啟用裝置來維持租戶衛生
如果 Intune 沒有設定裝置清理規則,過時或不活躍的裝置可能會無限期地在租戶中顯示。 這導致裝置清單雜亂、報告不準確,以及對主動裝置環境的可見度降低。 未使用的裝置可能會保留存取憑證或令牌,增加未經授權存取或政策決策錯誤的風險。
裝置清理規則會自動將非活躍裝置隱藏於管理員檢視與報告之外,改善租戶衛生並減輕管理負擔。 這支持零信任,透過維持準確且值得信賴的裝置庫存,同時保存歷史資料以便稽核或調查。
補救動作
設定 Intune 裝置清理規則,自動隱藏非活躍裝置對租戶不予:
如需詳細資訊,請參閱:
- 在 Microsoft Tech Community 部落格使用 Intune 裝置清理規則
條款與條件政策保護對敏感性資料的存取
若 Intune 未設定並指派條款與條件政策,使用者可在未同意法律、安全或使用條款的情況下存取企業資源。 此遺漏使組織面臨合規風險、法律責任及資源濫用的風險。
執行條款與條件確保使用者在存取敏感性資料或系統前,已確認並接受公司政策,支持法規遵循及負責任的資源使用。
補救動作
在 Intune 中建立並指派條款與條件政策,要求用戶在授權企業資源存取前必須先接受:
公司入口網站品牌與支援設定提升使用者體驗與信任度
如果 Intune 公司入口網站的品牌設定未設定為代表組織細節,使用者可能會遇到通用介面,缺乏直接支援資訊。 這降低了使用者信任度,增加支援負擔,並可能導致問題解決時的混亂或延遲。
以組織品牌與支援聯絡資訊自訂公司入口網站,能提升使用者信任度、簡化支援流程,並強化裝置管理溝通的合法性。
補救動作
將 Intune 公司入口網站配置為您的組織品牌與支援聯絡資訊,以提升使用者體驗並降低支援負擔:
啟用端點分析以協助識別 Windows 裝置的風險
若未啟用端點分析,威脅行為者便能利用裝置健康、效能與安全態勢的缺口。 若缺乏端點分析帶來的可視性,組織可能難以偵測異常裝置行為、延遲修補或配置漂移等指標。 這些漏洞使攻擊者能建立持久性、提升權限,並在環境中橫向移動。 缺乏分析資料會阻礙快速偵測與回應,使攻擊者能利用未受監控的端點進行指揮控制、資料外洩或進一步入侵。
啟用端點分析能提供裝置健康與行為的可視化,幫助組織偵測風險、迅速回應威脅,並維持強健的零信任態勢。
補救動作
將 Windows 裝置註冊到 Intune 的端點分析,以監控裝置健康並識別風險:
如需詳細資訊,請參閱: