使用零信任保護端點

背景

新式企業具有存取數據端點的驚人多樣性。 並非所有端點都是由組織管理，甚至由組織擁有，導致不同的裝置組態和軟體修補程式層級。 這會建立大規模的攻擊面，如果尚未解決，從不受信任的端點存取工作數據，就可以輕鬆地成為您 零信任 安全性策略中最弱的連結。

零信任遵守「永不信任，永遠驗證」原則。就端點而言，這表示一律會驗證所有端點。 不僅包括約聘人員、合作夥伴和來賓裝置，也包括員工用於存取工作資料的應用程式和裝置，無論裝置擁有權為何。

在零信任方法中，無論裝置是公司擁有或是個人透過攜帶您自己的裝置 (BYOD) 擁有；無論裝置是由 IT 完全管理，還是僅保護應用程式和資料，都會套用相同的安全性原則。 這些原則適用於所有端點，無論是電腦、Mac、智慧型手機、平板電腦、穿戴式裝置或 IoT 裝置，無論這些裝置連線至何處，可能是安全的公司網路、家用寬頻網路或公用網際網路。

最重要的是，在這些端點上執行之應用程式的健全狀況和可信度會影響您的安全性狀態。 您必須防止公司數據意外或透過惡意意圖外洩至不受信任或未知的應用程式或服務。

在 零信任 模型中保護裝置和端點有一些重要規則：

• 零信任 安全策略會透過雲端集中強制執行，並涵蓋端點安全性、裝置設定、應用程式保護、裝置合規性和風險狀態。

• 平臺和在裝置上執行的應用程式會安全地布建、正確設定及保持最新狀態。

• 有自動化和提示的回應，以包含應用程式內公司數據的存取權，以防安全性遭到入侵。

• 訪問控制系統可確保存取數據之前，所有原則控制項都會生效。

端點零信任部署目標

在大部分組織開始 零信任 旅程之前，其端點安全性會設定如下：

• 端點會加入網域，並使用組策略物件或 Configuration Manager 等解決方案進行管理。 這些是絕佳的選項，但它們不會利用新式 Windows 10 CSP，或需要個別的雲端管理閘道設備來服務雲端式裝置。

• 端點必須位於公司網路上才能存取數據。 這可能表示裝置必須實際在站臺上存取公司網路，或需要 VPN 存取，這會增加遭入侵裝置可能存取敏感性公司資源的風險。

實作保護端點的端對端零信任架構時，建議先專注於這些初始部署目標：
	I.端點會向雲端識別提供者註冊。 若要監視任何一個人使用之多個端點的安全性和風險，您需要 存取您資源的所有裝置和存取點的可見度 。 第二。存取權只會授與雲端管理且相容的端點和應用程式。 設定合規性規則，以確保裝置在授與存取之前符合最低安全性需求。 此外，設定不相容裝置的補救規則，以便人員知道如何解決問題。 第三。數據外洩防護 （DLP） 原則會針對公司裝置和 BYOD 強制執行。 控制用戶可以在存取數據之後執行哪些動作。 例如，限制將檔案儲存至不受信任的位置 (例如本機磁碟)，或限制以複製貼上功能在消費者通訊應用程式或聊天應用程式共用資料，藉此保護資料。
達成以上目標之後，專注於下列額外的部署目標：
	四。端點威脅偵測可用來監視裝置風險。 使用單一窗格以一致的方式管理所有端點，並使用 SIEM 來路由端點記錄和交易，讓您獲得較少的但可採取動作的警示。 V.訪問控制會鎖定公司裝置和 BYOD 的端點風險。整合來自 適用於端點的 Microsoft Defender 或其他Mobile Threat Defense （MTD） 廠商的數據，作為裝置合規性原則和裝置條件式存取規則的資訊來源。 裝置風險會直接影響該裝置使用者可以存取哪些資源。

端點 零信任 部署指南

本指南將逐步引導您完成遵循 零信任 安全性架構原則來保護裝置所需的步驟。

初始部署目標

I. 端點會向雲端識別提供者註冊

為了協助限制風險暴露，您必須監視每個端點，以確保每個端點都已套用受信任的身分識別、安全策略，以及已測量、補救或視為可接受的惡意代碼或數據外流等專案的風險層級。

註冊裝置之後，使用者可以使用其公司使用者名稱和密碼來存取貴組織的受限制資源，以登入（或 Windows Hello 企業版）。

使用 Microsoft Entra 識別元註冊公司裝置

執行下列步驟:

新的 Windows 10 裝置

1. 啟動您的新裝置，並開始 OOBE （全新體驗） 程式。

2. 在 [ 使用 Microsoft 登入] 畫面上，輸入您的公司或學校電子郵件位址。

3. 在 [ 輸入您的密碼] 畫面上，輸入您的密碼。

4. 在您的行動裝置上，核准您的裝置，使其可以存取您的帳戶。

5. 完成 OOBE 程式，包括設定隱私權設定和設定 Windows Hello（如有必要）。

6. 您的裝置現在已加入組織的網路。

現有的 Windows 10 裝置

1. 開啟 設定，然後選取 [帳戶]。

2. 選取 [存取公司或學校]，然後選取 [連線]。

   

3. 在 [ 設定公司或學校帳戶 ] 畫面上，選取 [將此裝置加入 Microsoft Entra ID]。

   

4. 在 [ 讓我們讓您登入 ] 畫面上，輸入您的電子郵件位址（例如 alain@contoso.com），然後選取 [ 下一步]。

5. 在 [ 輸入密碼] 畫面上，輸入您的密碼 ，然後選取 [ 登入]。

6. 在您的行動裝置上，核准您的裝置，使其可以存取您的帳戶。

7. 在 [ 確定這是您的組織 ] 畫面上，檢閱資訊以確定正確，然後選取 [ 加入]。

8. 在 [ 您全部設定 ] 畫面上，按兩下 [ 完成]。

使用 Microsoft Entra 識別子註冊個人 Windows 裝置

執行下列步驟:

1. 開啟 設定，然後選取 [帳戶]。

2. 選取 [存取公司或學校]，然後從 [存取公司或學校] 畫面選取 [連線]。

   

3. 在 [ 新增公司或學校帳戶 ] 畫面上，輸入公司或學校帳戶的電子郵件地址，然後選取 [ 下一步]。 例如： alain@contoso.com 。

4. 登入您的公司或學校帳戶，然後選取 [ 登入]。

5. 完成其餘的註冊程式，包括核准您的身分識別驗證要求（如果您使用雙步驟驗證），以及設定 Windows Hello（如有必要）。

啟用和設定 Windows Hello 企業版

若要允許使用者使用替代登入方法來取代密碼，例如 PIN、生物特徵辨識驗證或指紋讀取器，請在使用者的 Windows 10 裝置上啟用 Windows Hello 企業版。

下列 Microsoft Intune 和 Microsoft Entra 動作會在 Microsoft 端點管理員系統管理中心完成：

首先，在 Microsoft Intune 中建立 Windows Hello 企業版 註冊原則。

1. 移至 [裝置>註冊] > 註冊裝置 > Windows 註冊 > Windows Hello 企業版。

   

2. 從下列選項中選取 [設定 Windows Hello 企業版：

   1. Disabled。 如果您不想使用 Windows Hello 企業版，請選取此設定。 如果停用，則用戶無法布建 Windows Hello 企業版，但可能需要布建的 Microsoft Entra 加入行動電話。

   2. Enabled。 如果您想要設定 Windows Hello 企業版 設定，請選取此設定。 當您選取 [已啟用] 時，Windows Hello 的其他設定就會變成可見。

   3. 未設定。 如果您不想使用 Intune 來控制 Windows Hello 企業版 設定，請選取此設定。 Windows 10 裝置上任何現有的 Windows Hello 企業版 設定不會變更。 窗格上的所有其他設定都無法使用。

如果您選取 [已啟用]， 請設定套用至所有已註冊 Windows 10 裝置和 Windows 10 行動裝置的必要設定 。

1. 使用信任的平台模組 （TPM）。 TPM 晶片提供額外的數據安全性層。 選擇下列其中一個值：

   1. 必要。 只有具有可存取 TPM 的裝置才能布建 Windows Hello 企業版。

   2. 慣用。 裝置會先嘗試使用 TPM。 如果無法使用此選項，他們可以使用軟體加密。

2. 設定 PIN 長度下限和 PIN 長度上限。 這會將裝置設定為使用您指定的最小和最大 PIN 長度，以協助確保安全登入。 默認 PIN 長度為六個字元，但您可以強制執行最少四個字元的長度。 PIN 長度上限為 127 個字元。

3. 設定 PIN 到期日（天）。 最好是指定 PIN 的到期期限，之後用戶必須加以變更。 預設為 41 天。

4. 請記住 PIN 歷程記錄。 限制重複使用先前使用的 PIN。 根據預設，最後 5 個 PIN 無法重複使用。

5. 當可用時，請使用增強的反詐騙功能。 這會在支援 Windows Hello 的裝置上使用 Windows Hello 的反詐騙功能時進行設定。 例如，偵測臉部相片而非真實臉部。

6. 允許手機登入。 如果此選項設定為 [是]，使用者可以使用遠端護照作為桌面計算機驗證的可攜式隨附裝置。 桌面電腦必須已加入 Microsoft Entra，且隨附裝置必須設定 Windows Hello 企業版 PIN。

設定這些設定之後，請選取 [ 儲存]。

設定套用至所有已註冊 Windows 10 裝置和 Windows 10 行動裝置的設定之後，請設定 Windows Hello 企業版 Identity Protection 配置檔來自定義特定使用者裝置 Windows Hello 企業版 安全性設定。

1. 選取 [裝置 > 組態配置檔 > ] [建立配置檔 > Windows 10 及更新版本 > 身分識別保護]。

   

2. 設定 Windows Hello 企業版。 選擇您想要設定 Windows Hello 企業版 的方式。

   

   1. PIN 長度下限。

   2. PIN 中的小寫字母。

   3. PIN 中的大寫字母。

   4. PIN 中的特殊字元。

   5. PIN 到期日（天）。

   6. 請記住 PIN 歷程記錄。

   7. 啟用 PIN 復原。 允許使用者使用 Windows Hello 企業版 PIN 復原服務。

   8. 使用信任的平台模組 （TPM）。 TPM 晶片提供額外的數據安全性層。

   9. 允許生物特徵辨識驗證。 啟用生物特徵辨識驗證，例如臉部辨識或指紋，作為 #D8FCF9F9184174C33AE2AB44888BAD283 PIN 的替代方案。 使用者仍必須設定 PIN，以防生物特徵辨識驗證失敗。

   10. 當可用時，請使用增強的反詐騙功能。 設定在支援 Windows Hello 的裝置上使用 Windows Hello 的反詐騙功能時（例如，偵測臉部相片而非真實臉部）。

   11. 使用安全性金鑰進行登入。 此設定適用於執行 Windows 10 版本 1903 或更新版本的裝置。 使用它來管理使用 Windows Hello 安全性金鑰進行登入的支援。

最後，您可以建立其他裝置限制原則，以進一步鎖定公司擁有的裝置。

提示

瞭解如何實作端對端身分識別零策略。

II. 僅將存取權授與雲端管理且相容的端點和應用程式

一旦您擁有存取公司資源之所有端點的身分識別，且在授與存取權之前，您想要確保它們符合 組織所設定的最低安全性需求 。

在建立合規性原則以將公司資源存取閘道傳送至信任的端點和行動和桌面 應用程式之後，所有使用者都可以存取行動裝置上的組織數據，而且所有裝置上安裝最低或最大操作系統版本。 裝置不會越獄或根。

此外， 為不符合規範的裝置設定補救規則 ，例如封鎖不符合規範的裝置，或為使用者提供寬限期以符合規範。

使用 Microsoft Intune 建立合規性政策（所有平臺）

請遵循下列步驟來 建立合規性政策：

1. 選取 [裝置 > 合規性原則 > 原則 > 建立原則]。

2. 選取此原則的平臺 （適用於下列範例的 Windows 10）。

3. 選取所需的裝置健康情況設定。

   

4. 設定裝置屬性下限或上限。

   

5. 設定 Configuration Manager 合規性。 這需要 Configuration Manager 中的所有合規性評估符合規範，且僅適用於已合併的 Windows 10 裝置。 所有僅限 Intune 的裝置都會傳回 N/A。

6. 設定系統安全性 設定。

   

7. 設定 Microsoft Defender Antimalware。

   

8. 設定必要的 適用於端點的 Microsoft Defender 計算機風險分數。

   

9. 在 [不符合規範的動作] 索引標籤上，指定要自動套用至不符合此合規性原則的裝置的動作序列。

   

自動化通知電子郵件，並在 Intune 中新增不符合規範裝置的其他補救動作（所有平臺）

當其端點或應用程式變成不符合規範時，系統會引導用戶進行自我補救。 系統會自動產生警示，並針對特定閾值設定額外的警示和自動化動作。 您可以設定 不符合規範 的補救動作。

執行以下步驟：

1. 選取 [裝置 > 合規性原則 > 通知] > [建立通知]。

2. 建立通知訊息範本。

   

3. 選取 [裝置>合規性原則>原則]，選取其中一個原則，然後選取 [內容]。

4. 針對不符合規範>的 [新增] 選取 [動作]。

5. 新增不符合規範的動作：

   

   1. 設定自動電子郵件給具有不符合規範裝置的使用者。

   2. 設定動作以遠端鎖定不符合規範的裝置。

   3. 設定動作，以在設定天數后自動淘汰不符合規範的裝置。

III. 針對公司裝置和 BYOD 強制執行數據外洩防護 （DLP） 原則

授與數據存取權之後，您想要控制使用者可以使用數據執行的動作。 例如，如果使用者存取具有公司身分識別的檔，您想要防止該檔案儲存在未受保護的取用者儲存位置，或與取用者通訊或聊天應用程序共用。

套用建議的安全性設定

首先， 將 Microsoft 建議的安全性設定套用至 Windows 10 裝置 以保護公司數據（需要 Windows 10 1809 和更新版本）：

使用 Intune 安全性基準來協助您保護及保護使用者和裝置。 安全性基準是預先設定的 Windows 設定群組，可協助您套用相關安全性小組建議的已知設定群組和預設值。

執行下列步驟:

1. 選取 [端點安全性 > 基準] 以檢視可用基準的清單。

2. 選取您想要使用的基準，然後選取 [ 建立配置檔]。

3. 在 [組態設定] 索引標籤上，檢視所選基準中可用的 設定 群組。 您可以展開群組來檢視該群組中的設定，以及基準中這些設定的預設值。 若要尋找特定設定：

   1. 選取群組以展開並檢閱可用的設定。

   2. 使用搜尋列並指定關鍵詞來篩選檢視，只顯示包含搜尋準則的群組。

   3. 重新設定預設設定以符合您的業務需求。

      

4. 在 [指派] 索引標籤上，選取要包含的群組，然後將基準指派給一或多個群組。 若要微調指派，請使用 [選取群組] 來排除。

確定更新會自動部署到端點

設定 Windows 10 裝置

設定商務用 Windows 更新，以簡化使用者的更新管理體驗，並確保裝置會自動更新，以符合所需的合規性層級。

執行下列步驟:

1. 在 Intune 中管理 Windows 10 軟體更新，方法是建立更新通道並啟用設定集合，以設定何時安裝 Windows 10 更新。

   1. 選取 [裝置 > ][Windows > 10 更新通道 > 建立]。

   2. 在 [更新通道設定] 底下，設定商務需求的設定。

      

   3. 在 [指派] 下，選擇 [+ 選取要包含的群組]，然後將更新通道指派給一或多個群組。 若要微調指派，請使用 [+ 選取群組] 來排除。

2. 在 Intune 中管理 Windows 10 功能更新，將裝置帶入您指定的 Windows 版本（也就是 1803 或 1809），並凍結這些裝置上的功能集，直到您選擇將其更新為較新的 Windows 版本為止。

   1. 選取 [裝置 > ][Windows > 10 功能更新 > 建立]。

   2. 在 [基本概念] 底 下，指定名稱、描述（選擇性），然後 針對 [要部署的功能更新]，選取您想要的功能集的 Windows 版本，然後選取 [ 下一步]。

   3. 在 [指派] 下，選擇並選取要包含的群組，然後將功能更新部署指派給一或多個群組。

設定 iOS 裝置

針對公司註冊的裝置，設定 iOS 更新以簡化使用者的更新管理體驗，並確保裝置會自動更新，以符合所需的合規性層級。 設定 iOS 更新原則。

執行下列步驟:

1. 選取 [iOS/iPadOS > 建立配置檔的裝置>更新原則]。

2. 在 [基本] 索引標籤上，指定此原則的名稱、指定描述（選擇性），然後選取 [ 下一步]。

3. 在 [更新原則設定] 索引標籤上，設定下列專案：

   1. 選取要安裝的版本。 您可以自下列內容中選擇:

      1. 最新更新：這會部署 iOS/iPadOS 的最新發行更新。

      2. 下拉式方塊中提供的任何舊版。 如果您選取舊版，您也必須部署裝置設定原則，以延遲軟體更新的可見度。

   2. 排程類型：設定此原則的排程：

      1. 下次簽入時更新。 下次使用 Intune 簽入時，更新會在裝置上安裝。 這是最簡單的選項，而且沒有額外的設定。

      2. 在排程時間進行更新。 您可以設定一或多個時間範圍，在簽入時安裝更新。

      3. 在排程時間以外更新。 您可以設定一或多個時間範圍，在簽入時不會安裝更新。

   3. 每週排程：如果您在下次簽入時選擇更新以外的排程類型，請設定下列選項：

      

4. 選擇時區。

5. 定義時間範圍。 定義一或多個限制更新安裝時間的區塊。 選項包括開始日、開始時間、結束日和結束時間。 藉由使用開始日和結束日，支援隔夜區塊。 如果您未將時間設定為開始或結束，則設定不會產生任何限制，而且隨時可以安裝更新。

確定裝置已加密

設定 Bitlocker 以加密 Windows 10 裝置

1. 選取 [裝置] > [組態設定檔] > [建立設定檔]。

2. 設定下列選項：

   1. [平台]：Windows 10 和更新版本

   2. 配置檔類型：Endpoint Protection

      

3. 選取 [設定 > Windows 加密]。

   

4. 設定 BitLocker 的設定以符合您的業務需求，然後選取 [ 確定]。

在 macOS 裝置上設定 FileVault 加密

1. 選取 [裝置] > [組態設定檔] > [建立設定檔]。

2. 設定下列選項：

   1. 平臺：macOS。

   2. 配置檔類型：Endpoint Protection。

      

3. 選取 [設定 > FileVault]。

   

4. 針對 [FileVault]，選取 [ 啟用]。

5. 針對 [復原金鑰類型]，僅支援個人密鑰。

6. 設定其餘的 FileVault 設定以符合您的業務需求，然後選取 [ 確定]。

建立應用程式保護原則來保護應用層級的公司數據

若要確保您的資料保持安全或包含在受控應用程式中，請建立應用程式保護原則 （APP）。 原則可以是在使用者嘗試存取或移動「公司」資料時強制執行的規則，或是一組在使用者處於應用程式中時遭禁止或受監視的動作。

APP 數據保護架構會組織成三個不同的組態層級，每個層級都會從上一個層級建置：

• 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密，並且會執行選擇性抹除作業。 針對 Android 裝置，此層級會驗證 Android 裝置證明。 這是一種入門級設定，可在 Exchange Online 信箱原則中提供類似的數據保護控制，並將 IT 和使用者擴展引入 APP。

• 企業增強型數據保護 （層級 2） 引進了應用程式數據外泄防護機制和最低 OS 需求。 這個設定適用於存取公司或學校資料的大部分行動使用者。

• 企業高階資料保護 (層級 3) 引進先進的資料保護機制、增強的 PIN 設定，以及 APP Mobile Threat Defense。 對於存取高風險數據的使用者而言，這是理想的設定。

執行下列步驟:

1. 在 Intune 入口網站中，選擇 [應用程式> 應用程式防護 原則]。 此選取項目會開啟 應用程式防護 原則詳細數據，您可以在其中建立新原則並編輯現有的原則。

2. 選取 [建立原則 ]，然後選取 [iOS/iPadOS ] 或 [Android]。 [ 建立原則 ] 窗格隨即顯示。

3. 選擇您想要套用應用程式保護原則的應用程式。

4. 設定資料保護 設定：

   1. iOS/iPadOS 資料保護。 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 資料保護。

   2. Android 數據保護。 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 資料保護。

5. 設定存取需求 設定：

   1. iOS/iPadOS 存取需求。 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 存取需求。

   2. Android 存取需求。 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 存取需求。

6. 設定條件式啟動 設定：

   1. iOS/iPadOS 條件式啟動。 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 條件式啟動。

   2. Android 條件式啟動。 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 條件式啟動。

7. 按 [下一步] 以顯示 [ 指派] 頁面。

8. 完成時，按兩下 [建立 ] 以在 Intune 中建立應用程式保護原則。

提示

瞭解如何實作數據的端對端 零信任 策略。

其他部署目標

IV. 端點威脅偵測可用來監視裝置風險

完成前三個目標之後，下一個步驟是設定端點安全性，以便布建、啟用和監視進階保護。 單一窗格用來一致地管理所有端點。

將端點記錄和交易路由傳送至 SIEM 或 Power BI

使用 Intune 資料倉儲， 將裝置和應用程式管理數據傳送至報告或 SIEM 工具 ，以智慧篩選警示以減少雜訊。

執行下列步驟:

1. 選取 [報表 > Intune 數據倉儲數據倉儲>]。

2. 複製自定義摘要 URL。 例如：https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

3. 開啟 Power BI Desktop 或 SIEM 解決方案。

從您的 SIEM 解決方案

選擇從 Odata 摘要匯入或取得資料的選項。

從 PowerBI

1. 從功能表中，選取 [檔案 > 取得數據 > OData 摘要]。

2. 將您從先前步驟複製的自定義摘要 URL 貼到 [OData 摘要] 視窗中的 [URL] 方塊中。

3. 選取 [基本]。

4. 選取 [確定]。

5. 選取 [組織帳戶]，然後使用您的 Intune 認證登入。

   

6. 選取 Connect。 [導覽器] 將會開啟並顯示 Intune 數據倉儲中的數據表清單。

7. 選取裝置和 ownerTypes 數據表。 選取載入。 Power BI 會將數據載入模型。

8. 建立關聯性。 您可以匯入多個數據表，不僅要分析單一數據表中的數據，還可以跨數據表分析相關數據。 Power BI 具有稱為自動偵測的功能，會嘗試為您尋找和建立關聯性。 數據倉儲中的數據表已建置為使用Power BI中的自動偵測功能。 不過，即使 Power BI 不會自動找到關聯性，您仍然可以管理關聯性。

9. 選取 [管理關聯性]。

10. 如果 Power BI 尚未偵測到關聯性，請選取 [ 自動偵測 ]。

11. 了解 設定PowerBI視覺效果的進階方式。

V. 訪問控制會鎖定公司裝置和 BYOD 的端點風險

公司裝置會向雲端註冊服務註冊，例如 DEP、Android Enterprise 或 Windows AutoPilot

建置和維護自定義操作系統映像是一個耗時的程式，而且可能包括花時間將自定義作業系統映射套用至新裝置，以準備它們以供使用。

• 透過 Microsoft Intune 雲端註冊服務，您可以為使用者提供新的裝置，而不需要建置、維護及套用自定義操作系統映像至裝置。

• Windows Autopilot 是一組技術，可用來設定和預先設定新裝置，讓他們準備好進行生產力使用。 您也可以使用 Windows Autopilot 來重設、重新利用和復原裝置。

• 設定 Windows Autopilot 將 Microsoft Entra 加入 自動化，並將新的公司擁有的裝置註冊到 Intune。

• 將 Apple DEP 設定為自動註冊 iOS 和 iPadOS 裝置。

本指南涵蓋的產品

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft 端點管理員 （包括 Microsoft Intune 和 Configuration Manager）

適用於端點的 Microsoft Defender

BitLocker

零信任和您的 OT 網路

適用於IoT 的 Microsoft Defender 是專為識別跨IoT和作業技術 （OT） 網路之裝置、弱點和威脅而建置的統一安全性解決方案。 使用適用於IoT的Defender在整個IoT/OT環境中套用安全性，包括可能沒有內建安全性代理程式的現有裝置。

OT 網路通常與傳統的 IT 基礎結構不同，而且需要特殊方法來零信任。 OT 系統使用獨特的技術搭配專屬通訊協定，而且可能有具有有限連線能力與電源的過時平臺，或特定安全性需求，以及對實體攻擊的獨特暴露程度。

適用於IoT的Defender可藉由解決OT特定的挑戰，支援零信任原則，例如：

• 協助您控制 OT 系統的遠端連線
• 檢閱並協助您減少相依系統之間的相互連線
• 在您的網路中尋找單一失敗點

部署適用於IoT的Defender網路感測器來偵測裝置和流量，並監看OT特定弱點。 將您的感測器分成整個網路的月臺和區域，以監視區域之間的流量，並遵循適用於IoT的Defender風險型風險降低步驟，以降低OT環境的風險。 然後，適用於IoT的Defender會持續監視您的裝置是否有異常或未經授權的行為。

與 Microsoft 服務整合，例如 Microsoft Sentinel 和其他合作夥伴服務，包括 SIEM 和票證系統，以在組織中共用適用於 IoT 的 Defender 數據。

如需詳細資訊，請參閱

• 零信任和 OT 網路
• 使用 零信任 原則監視您的 OT 網路
• 使用 Microsoft Sentinel 調查適用於 IoT 事件的 Defender

結論

零信任 方法可以大幅增強裝置和端點的安全性狀態。 如需實作的進一步資訊或協助，請連絡您的客戶成功小組，或繼續閱讀本指南中涵蓋所有 零信任 要素的其他章節。

零信任 部署指南系列