使用 Microsoft Intune 保護資料和裝置

Microsoft Intune 可協助您將受控裝置保持在安全且最新狀態，同時協助您保護組織的數據免於遭到入侵的裝置。 數據保護包括控制使用者在受控和非受控裝置上對組織數據執行的動作。 數據保護也延伸到封鎖從可能遭到入侵之裝置的數據存取。

本文強調許多 Intune 的內建功能，以及您可以與 Intune 整合的合作夥伴技術。 當您深入了解它們時，您可以將數個整合在一起，以便在邁向零信任環境的過程中獲得更全面的解決方案。

從 Microsoft Intune 系統管理中心，Intune 支援執行 Android、iOS/iPad、Linux、macOS 和 Windows 的受控裝置。

當您使用 Configuration Manager 來管理內部部署裝置時，您可以設定租使用者附加或共同管理，將 Intune 原則延伸至這些裝置。

Intune 也可以使用您使用提供裝置合規性和行動威脅防護的第三方產品所管理裝置的資訊。

透過原則保護裝置

部署 Intune 端點安全性、裝置設定和裝置合規性原則，以設定裝置以符合組織的安全性目標。 原則支援一或多個配置檔，也就是您部署至已註冊裝置群組的個別平臺特定規則集合。

• 使用 端點安全策略，部署以安全性為主的原則，其設計目的是協助您專注於裝置的安全性並降低風險。 可用的工作可協助您識別有風險的裝置、修復這些裝置，並將其還原為符合規範或更安全的狀態。

• 使用 裝置設定原則，管理配置檔，以定義裝置在組織中使用的設定和功能。 設定裝置以進行端點保護、布建憑證以進行驗證、設定軟體更新行為等等。

• 使用 裝置合規性政策，您可以為建立裝置需求的不同裝置平臺建立配置檔。 需求可以包括操作系統版本、使用磁碟加密，或處於或低於威脅管理軟體所定義的特定 威脅層級 。

  Intune 可以保護不符合您原則的裝置，並警示裝置使用者使其符合規範。

  當您將 條件式存取 新增至混合時，請設定原則，只允許符合規範的裝置存取您的網路和組織的資源。 存取限制可以包含檔案共用和公司電子郵件。 條件式存取原則也適用於您與 Intune 整合的第三方裝置合規性合作夥伴所報告的裝置狀態數據。

以下是您可以透過可用原則管理的一些安全性設定和工作：

• 驗證方法 – 設定裝置如何向組織的資源、電子郵件和應用程式進行驗證。

  • 使用憑證 向應用程式、貴組織的資源進行驗證，以及使用S/MIME 簽署和加密電子郵件。 當您的環境需要使用智慧卡時，您也可以設定 衍生 認證。

  • 設定有助於限制風險的設定，例如：

    • 需要多重要素驗證 (MFA) 為使用者新增額外的驗證層。
    • 設定取得資源存取權之前必須符合的 PIN 和密碼需求。
    • 啟用 Windows 裝置的 Windows Hello 企業版。

• 裝置加密 – 管理 Windows 裝置上的 BitLocker ，以及 macOS 上的 FileVault 。

• 軟體更新 – 管理裝置取得軟體更新的方式和時機。 支援下列專案：

  • Android 韌體 更新：
    • 韌體無線 (FOTA) - 某些 OEM 支援，您可以使用 FOTA 從遠端更新裝置的韌體。
    • Zebra LifeGuard 無線 (LG OTA) - 透過 Intune 系統管理中心管理受支援 Zebra 裝置的韌體更新。
  • iOS - 管理裝置作業系統版本，以及當裝置檢查並安裝更新時。
  • macOS - 管理註冊為受監督裝置之 macOS 裝置的軟體更新。
  • Windows - 若要管理裝置的 Windows Update 體驗，您可以設定裝置掃描或安裝更新、在特定功能版本保留一組受控裝置等等。

• 安全性基準 – 部署 安全性基準 ，以在您的 Windows 裝置上建立核心安全性狀態。 安全性基準是預先設定的 Windows 設定群組，由相關產品小組建議。 您可以使用提供的基準，或編輯它們的實例，以符合目標裝置群組的安全性目標。

• 虛擬專用網 (VPN) – 使用 VPN 配置檔，將 VPN 設定指派給裝置，以便輕鬆地連線到組織的網路。 Intune 支援數種 VPN 連線類型和應用程式，包括某些平臺的內建功能，以及裝置的第一方和第三方 VPN 應用程式。

• WINDOWS 本機系統管理員密碼解決方案 (LAPS) - 使用 Windows LAPS 原則，您可以.

  • 強制執行本機系統管理員帳戶的密碼需求
  • 將本機系統管理員帳戶從裝置備份到 Active Directory (AD) 或 Microsoft Entra
  • 排程這些帳戶密碼的輪替，以協助保護其安全。

透過原則保護數據

Intune 管理的應用程式和 Intune 的應用程式保護原則可協助防止數據外泄，並保護貴組織的數據安全。 這些保護可以套用至向 Intune 註冊的裝置，以及未註冊的裝置。

• Intune 受控應用程式 (或受控應用程式) 為整合 Intune App SDK 或由 Intune App Wrapping Tool 包裝的應用程式。 您可以使用 Intune 應用程式保護原則來管理這些應用程式。 若要檢視公開可用的受控應用程式清單，請參閱 Intune 受保護的應用程式。

  使用者可以使用受控應用程式來處理您組織的數據，以及他們自己的個人資料。 不過，當應用程式保護原則需要使用受控應用程式時，受控應用程式是唯一可用來存取組織數據的應用程式。 應用程式防護 規則不適用於使用者的個人資料。

• 應用程式防護 原則是確保組織數據保持安全或包含在受控應用程式中的規則。 這些規則會識別必須使用的受控應用程式，並定義在應用程式使用中時可以使用資料的作業。

以下是您可以使用應用程式保護原則和受控應用程式設定的保護和限制範例：

• 設定應用層保護，例如要求 PIN 在工作內容中開啟應用程式。
• 控制組織在裝置上應用程式之間的數據共用，例如封鎖複製和貼上，或螢幕擷取。
• 防止將組織的數據儲存到個人儲存位置。

使用裝置動作來保護裝置和數據

從 Microsoft Intune 系統管理中心，您可以執行可協助保護所選裝置的裝置動作。 您可以將這些動作的子集當作 大量裝置動作 來執行，以同時影響多個裝置。 此外，Intune的數個遠端動作也可以與共同管理的裝置搭配使用。

裝置動作不是原則，而且在叫用時會一次生效。 如果裝置可在線存取，或裝置下次啟動或簽入 Intune，則會立即套用。 將這些動作視為使用原則的補充動作，這些原則會設定及維護裝置母體擴展的安全性設定。

以下是您可以執行以協助保護裝置和資料的動作範例：

由 Intune 管理的裝置：

• 僅限 Windows (的 BitLocker 金鑰旋轉)
• 僅停用 Apple 裝置 (啟用鎖定，請參閱如何 使用 Apple Business Manager 關閉啟用鎖定)
• 僅限 Windows (完整或快速掃描)
• 遠端鎖定
• 淘汰 (，這會從裝置移除組織的數據，同時讓個人資料保持不變)
• 更新 Microsoft Defender 資訊安全情報
• 抹除 (原廠重設裝置、移除所有數據、應用程式和設定)

由 Configuration Manager 管理的裝置：

• 淘汰
• 擦去
• 同步 (強制裝置立即簽入 Intune 以尋找新的原則或擱置中的動作)

與其他產品和合作夥伴技術整合

Intune 支援與來自第一方和第三方來源的合作夥伴應用程式整合，進而擴充其內建功能。 您也可以將 Intune 與數種Microsoft技術整合。

合規性合作夥伴

瞭解如何搭配使用裝置合規性合作夥伴與 Intune。 當您使用 Intune 以外的行動裝置管理夥伴來管理裝置時，您可以將該合規性數據與 Microsoft Entra ID 整合。 整合之後，條件式存取原則可以使用合作夥伴數據以及來自 Intune 的合規性數據。

Configuration Manager

您可以使用許多 Intune 原則和裝置動作來保護您使用 Configuration Manager 管理的裝置。 若要支援這些裝置，請設定 共同管理 或 租使用者附加。 您也可以同時使用 Intune。

• 透過共同管理，您可以同時管理具有 Configuration Manager 和 Intune 的 Windows 裝置。 您會安裝 Configuration Manager 用戶端，並註冊裝置以 Intune。 裝置會與這兩個服務通訊。

• 使用租使用者附加，您可以設定 Configuration Manager 網站與 Intune 租使用者之間的同步處理。 此同步處理可為您使用 Microsoft Intune 管理的所有裝置提供單一檢視。

建立 Intune 與 Configuration Manager 之間的連線之後，Microsoft Intune 系統管理中心就會提供來自 Configuration Manager 的裝置。 然後，您可以將 Intune 原則部署到這些裝置，或使用裝置動作來保護它們。

您可以套用的一些保護包括：

• 使用 Intune 簡單憑證註冊通訊協定 (SCEP) 或私密和公鑰組 (PKCS) 憑證設定檔，將憑證部署到裝置。
• 使用合規性政策。
• 使用端點安全策略，例如 防病毒軟體、 端點偵測和回應，以及 防火牆 規則。
• 套用安全性基準。
• 管理 Windows 匯報。

行動威脅防禦應用程式

Mobile Threat Defense (MTD) 應用程式會主動掃描和分析裝置是否有威脅。 當您整合 (將) Mobile Threat Defense 應用程式與 Intune 連線時，您會取得裝置威脅層級的應用程式評量。 評估裝置威脅或風險層級是保護貴組織資源免於遭入侵行動裝置的重要工具。 然後，您可以在各種原則中使用該威脅層級，例如條件式存取原則，以協助網關存取這些資源。

使用威脅層級數據搭配裝置合規性、應用程式保護和條件式存取的原則。 這些原則會使用數據來協助防止不符合規範的裝置存取組織的資源。

使用整合式 MTD 應用程式：

• 針對 已註冊的裝置：

  • 使用 Intune 來部署及管理裝置上的 MTD 應用程式。
  • 部署使用裝置回報威脅層級來評估合規性的裝置合規性原則。
  • 定義考慮裝置威脅層級的條件式存取原則。
  • 定義應用程式保護原則，以根據裝置的威脅層級，判斷何時封鎖或允許存取數據。

• 對於未向 Intune 註冊但執行與 Intune 整合之 MTD 應用程式的裝置，請使用其威脅層級數據搭配您的應用程式保護原則，以協助封鎖對組織數據的存取。

Intune 支援與下列專案整合：

• 數 個第三方 MTD 合作夥伴。
• 適用於端點的 Microsoft Defender，其支援具有 Intune 的額外功能。

適用於端點的 Microsoft Defender

適用於端點的 Microsoft Defender 本身提供數個以安全性為焦點的優點。 適用於端點的 Microsoft Defender 也與 Intune 整合，並在數個裝置平臺上受到支援。 透過整合，您可以取得行動威脅防禦應用程式，並將功能新增至 Intune，以確保資料和裝置的安全。 這些功能包括：

• 支援Microsoft通道 - 在 Android 裝置上，適用於端點的 Microsoft Defender 是您與 Microsoft Tunnel 搭配使用的用戶端應用程式，這是適用於 Intune 的 VPN 閘道解決方案。 當做 Microsoft Tunnel 用戶端應用程式使用時，您不需要訂用帳戶即可 適用於端點的 Microsoft Defender。

• 安全性工作 – 透過安全性工作，Intune 系統管理員可以利用 適用於端點的 Microsoft Defender 的 威脅與弱點管理 功能。 運作方式：

  • 適用於端點的 Defender 小組會識別有風險的裝置，並在適用於端點的 Defender 安全性中心建立 Intune 的安全性工作。
  • 這些工作會顯示在 Intune 中，並提供 Intune 系統管理員可用來降低風險的緩和建議。
  • 在 Intune 中解析工作時，該狀態會傳回適用於端點的 Defender 安全性中心，以便評估風險降低的結果。

• 端點安全策略 – 下列 Intune 端點安全策略需要與 適用於端點的 Microsoft Defender 整合。 當您使用租使用者附加時，可以將這些原則部署到您使用 Intune 或 Configuration Manager 管理的裝置。

  • 防病毒軟體原則 - 管理 Microsoft Defender 防病毒軟體的設定，以及支援裝置上的 Windows 安全性 體驗，例如 Windows 和 macOS。

  • 端點偵測和響應原則 – 使用此原則來設定 EDR) (端點偵測和回應，這是 適用於端點的 Microsoft Defender 的功能。

條件式存取

條件式存取是一種 Microsoft Entra 功能，可與 Intune 搭配使用，以協助保護裝置。 對於向 Microsoft Entra ID 註冊的裝置，條件式存取原則可以使用來自 Intune的裝置和合規性詳細數據來強制執行使用者和裝置的存取決策。

結合條件式存取原則與：

• 裝置合規性原則 可能需要將裝置標示為符合規範，才能使用該裝置來存取組織的資源。 條件式存取原則會指定您想要保護的應用程式服務、可存取應用程式或服務的條件，以及套用原則的使用者。

• 應用程式防護 原則可以新增安全性層級，確保只有支援 Intune 應用程式保護原則的用戶端應用程式可以存取您的在線資源，例如 Exchange 或其他Microsoft 365 服務。

條件式存取也適用於下列專案，以協助您保護裝置的安全：

• 適用於端點的 Microsoft Defender和第三方 MTD 應用程式
• 裝置合規性合作夥伴應用程式
• Microsoft Tunnel

新增端點許可權管理

端點許可權管理 (EPM) 可讓您以標準使用者身分執行 Windows 使用者，同時只在需要時提高許可權，如組織所設定的組織規則和參數所設計。 此設計支持強制執行最低許可權存取，這是 零信任 安全性架構的核心租使用者。 EPM 可讓 IT 小組更有效率地管理標準使用者，並藉由只允許員工以系統管理員身分執行特定、已核准的應用程式或工作來限制其攻擊面。

通常需要系統管理許可權的工作是應用程式安裝 (，例如Microsoft 365 應用程式) 、更新設備驅動器，以及執行特定 Windows 診斷。

藉由部署您定義的 EPM 提高許可權規則 ，您只能允許您信任的應用程式在提升許可權的內容中執行。 例如，您的規則可能需要 檔案哈希 比對或 憑證 是否存在，才能在裝置上執行檔案完整性。

提示

端點許可權管理是 Intune 附加元件，需要額外的授權才能使用，並支援 Windows 10 和 Windows 11 裝置。

如需詳細資訊，請 參閱端點許可權管理。

後續步驟

規劃使用 Intune的功能，藉由保護您的數據和保護裝置，來支援您邁向零信任環境的旅程。 除了先前的內建連結，以深入瞭解這些功能之外，請了解數據安全性和 Intune 中的共用。