端點整合
端點是存取組織資源和應用程式的裝置。 新式工作場所包含各種裝置,可要求從公司網路內外存取。
端點 零信任 解決方案是關於驗證存取工作資料之裝置的安全性,包括裝置上執行的應用程式。 合作夥伴可以與 Microsoft 的端點解決方案整合,以驗證裝置和應用程式安全性、強制執行最低許可權原則,並事先為缺口做好準備。
本指南適用於想要透過與 Microsoft 產品整合來增強其端點安全性解決方案的軟體提供者和技術合作夥伴。
端點 零信任 整合指南
此整合指南包含與下列產品整合的指示:
- 適用於端點的 Microsoft Defender,可協助企業網路防止、偵測、調查及回應進階威脅。
- Microsoft 端點管理員,可為員工所使用的裝置提供保護和安全性,以及在這些裝置上執行的應用程式。
- 適用於IoT的 Microsoft Defender,可提供您作業技術 (OT) 網路的安全性。
適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 是企業端點安全性平臺,其設計目的是協助企業網路防止、偵測、調查及回應進階威脅。 其使用端點行為感測器、雲端安全性分析和威脅情報的組合。
適用於端點 的 Defender 支援第三方應用程式 ,協助增強平臺的偵測、調查和威脅情報功能。 此外,合作夥伴可以在 開放式架構和一組豐富且完整的API上擴充其現有的安全性供應專案 ,以建置延伸模組和與適用於端點的Defender整合。
適用於端點的 Microsoft Defender 合作夥伴商機和案例頁面描述支援的數種整合類別。 此外,整合案例的其他概念可能包括:
- 簡化威脅補救:適用於端點的 Microsoft Defender 可以採取立即或操作員輔助的回應來解決警示。 合作夥伴可以利用端點回應動作,例如計算機隔離、檔案隔離來封鎖受控端點上的IoC。
- 結合網路訪問控制與裝置安全性:風險或暴露分數可用來實作和強制執行網路和應用程式存取的原則。
若要成為適用於端點的 Defender 解決方案合作夥伴,您必須遵循並完成在成為 適用於端點的 Microsoft Defender 合作夥伴中找到的步驟。
Microsoft 端點管理員
Microsoft 端點管理員,包括 Microsoft Intune 和 Microsoft Configuration Manager,可為員工所使用的裝置以及在這些裝置上執行的應用程式提供保護和安全性。 端點管理員包含裝置合規性政策,可確保員工從符合公司安全策略的裝置存取應用程式和數據。 它也包含應用程式保護原則,可為完全受控和員工擁有的裝置提供應用程式型安全性控制。
為了與 Microsoft 端點管理員整合,ISV 將使用 Microsoft Graph 和 Microsoft 端點管理員應用程式管理 SDK。 端點管理員與圖形 API 的整合允許端點管理員 (Intune) 系統管理員主控台所提供的任何相同功能。 您可以透過圖形 API 找到裝置合規性狀態、合規性政策設定、應用程式保護原則設定等資訊。 此外,您可以在端點管理員中自動化工作,進一步增強客戶的 零信任 故事。 Microsoft Graph 檔存放庫中提供使用 Intune 的一般指引。 在這裡,我們著重於與 零信任 相關的案例。
確認裝置遵循安全性和合規性標準
ISV 解決方案可以利用端點管理員的裝置合規性和原則資訊來支援明確驗證 零信任 原則。 端點管理員中使用者和裝置的相關合規性數據可讓ISV的應用程式判斷裝置的風險狀態,因為它與應用程式使用有關。 藉由執行這些驗證,ISV 可確保使用服務的裝置符合客戶的安全性和合規性標準和原則。
Microsoft Graph API 允許 ISV 透過一組 RESTful API 與端點管理員 (Intune) 整合。 這些 API 是端點管理員控制台用來檢視、建立、管理、部署及報告 Intune 中所有動作、數據和活動的相同 API。 支援 零信任 計劃之 ISV 的特定興趣專案,是能夠檢視裝置合規性狀態並設定合規性規則和原則。 如需 零信任 組態和合規性,請參閱 Microsoft 使用 Microsoft Entra ID 和 Endpoint Manager 的建議:使用 零信任 保護端點。 端點管理員的合規性規則是透過 Microsoft Entra ID 支援裝置型條件式存取支援的基礎。 ISV 也應該檢視條件式存取功能和 API,以瞭解如何完成使用者和裝置合規性和條件式存取的案例。
在理想情況下,您的應用程式會以雲端應用程式的形式連線到 Microsoft Graph API,並建立服務對服務連線。 多租使用者應用程式提供ISV的集中式應用程式定義和控制,並讓客戶個別同意針對其租用戶數據運作的ISV應用程式。 檢閱 Microsoft Entra 識別符中的租用資訊,以註冊及建立單一或多租使用者 Microsoft Entra Applications。 應用程式的驗證可以利用 Microsoft Entra ID 進行單一登錄。
建立應用程式之後,您必須使用 Microsoft Graph API 存取裝置和合規性資訊。 您可以在 Microsoft Graph 開發人員中心找到使用 Microsoft Graph 的檔。 圖形 API 是一組 RESTful API,遵循 ODATA 標準進行數據存取和查詢。
取得裝置合規性狀態
此圖顯示裝置合規性資訊如何從裝置流向ISV解決方案。 終端使用者裝置會從 Intune、行動威脅防禦 (MTD) 合作夥伴或行動裝置管理 (MDM) 合規性合作夥伴接收原則。 從裝置收集合規性信息之後,Intune 會計算每個裝置的整體合規性狀態,並將該狀態儲存在 Microsoft Entra ID 中。 藉由使用 Microsoft Graph API,您的解決方案可以讀取並回應裝置合規性狀態,並套用 零信任 的原則。
向 Intune 註冊時,會在 Intune 中建立裝置記錄,其中包含其他裝置詳細數據,包括裝置合規性狀態。 Intune 會將裝置合規性狀態轉送至 Microsoft Entra ID,其中 Microsoft Entra ID 也會儲存每個裝置的合規性狀態。 藉由讓 GET 開啟 https://graph.microsoft.com/v1.0/deviceManagement/managedDevices
,您可以看到租使用者的所有已註冊裝置及其合規性狀態。 或者,您可以查詢 https://graph.microsoft.com/v1.0/devices
以取得已註冊和註冊的 Microsoft Entra 裝置及其合規性狀態的清單。
例如,此要求:
GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}
會傳回:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095
{
"value": {
"@odata.type": "#microsoft.graph.managedDevice",
"id": "705c034c-034c-705c-4c03-5c704c035c70",
"userId": "User Id value",
"deviceName": "Device Name value",
"managedDeviceOwnerType": "company",
"enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
"lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
"complianceState": "compliant",
...
}
您也可以擷取合規性政策清單、其部署,以及這些合規性原則的用戶和裝置狀態。 呼叫 Graph 以取得合規性政策信息的資訊會從這裡開始: 取得 deviceCompliancePolicy - Microsoft Graph v1.0。 裝置合規性政策及其使用方式的良好背景如下: Microsoft Intune - Azure 中的裝置合規性政策。
識別出特定原則之後,您可以查詢以取得特定合規性政策設定的裝置狀態。 例如,假設已部署合規性原則以要求鎖定上的密碼,請查詢 Get deviceComplianceSettingState 以取得該設定的特定狀態。 這表示裝置是否符合密碼鎖定設定的規範或不符合規範。 這個相同的方法可用於客戶部署的其他裝置合規性政策。
合規性資訊是 Microsoft Entra ID 的條件式存取功能的基礎。 Intune 會根據合規性政策決定裝置合規性,並將合規性狀態寫入 Microsoft Entra ID。 然後,客戶會使用條件式存取原則來判斷是否對不符合規範採取任何動作,包括封鎖使用者從不符合規範的裝置存取公司數據。
如需整合裝置合規性與條件式存取的其他資訊,請參閱 Microsoft Intune 中的裝置合規性政策。
遵循最低許可權存取原則
與端點管理員整合的ISV也想要確保其應用程式支援套用最低許可權存取 零信任 原則。 端點管理員整合支援兩個重要的訪問控制方法 – 委派的許可權或應用程式許可權。 ISV 的應用程式必須使用其中一個許可權模型。 委派的許可權可讓您更精細地控制應用程式可存取端點管理員中的特定物件,但要求系統管理員使用其認證登入。 相較之下,應用程式許可權可讓ISV的應用程式存取或控制數據和對象的類別,而不是特定的個別物件,但不需要使用者登入。
除了將應用程式建立為單一租使用者或多租使用者(慣用)應用程式之外,您必須宣告應用程式存取端點管理員資訊所需的委派或應用程式許可權,並針對端點管理員執行動作。 在這裡檢視開始使用許可權的相關信息: 快速入門:設定應用程式以存取 Web API。
適用於 IoT 的 Microsoft Defender
作業技術 (OT) 網路架構通常不同於傳統 IT 基礎結構,使用具有專屬通訊協定的獨特技術。 OT 裝置可能也有具有有限連線能力與電源的過時平臺,或特定安全性需求,以及對實體攻擊的獨特暴露程度。
部署 適用於IoT 的 Microsoft Defender,以將零信任原則套用至您的OT網路,以監視流量是否有異常或未經授權的行為,因為流量會跨越網站和區域。 監看 OT 裝置特有的威脅和弱點,在偵測到風險時降低風險。
透過在安全性作業中心 (SOC) 和組織的其他部分共用適用於IoT的Defender資料來加速作業。 與 Microsoft 服務 整合,例如 Microsoft Sentinel 和適用於端點的 Defender 或其他合作夥伴服務,包括 SIEM 和票證系統。 例如:
將內部部署警示數據直接轉送至 SIEM,例如 Splunk、IBM QRadar 等。 Splunk 和 IBM QRadar 也支援事件中樞擷取,您可以使用 此擷取從適用於 IoT 的 Defender 轉送雲端警示。
與 ServiceNow 的 Operational Technology Manager 整合,將適用於 IoT 的 Defender 數據匯入 ServiceNow,並使用生產程式內容以風險為基礎的動作。
如需詳細資訊,請參閱