إدارة الأجهزة باستخدام نظرة عامة على Intune

  • مقالة

يتضمن المكون الأساسي للأمان على مستوى المؤسسة إدارة الأجهزة وحمايتها. سواء كنت تقوم ببناء بنية أمان ثقة معدومة، أو تقوية بيئتك ضد برامج الفدية الضارة، أو البناء في حماية لدعم العمال عن بعد، فإن إدارة الأجهزة هي جزء من الاستراتيجية. بينما يتضمن Microsoft 365 العديد من الأدوات والمنهجيات لإدارة الأجهزة وحمايتها، يستعرض هذا التوجيه توصيات Microsoft باستخدام Microsoft Intune. هذا هو التوجيه المناسب لك إذا كنت:

  • خطط لتسجيل الأجهزة في Intune من خلال الانضمام Microsoft Entra (بما في ذلك Microsoft Entra الانضمام المختلط).
  • خطط لتسجيل الأجهزة يدويا في Intune.
  • السماح لأجهزة BYOD مع خطط لتنفيذ الحماية للتطبيقات والبيانات و/أو تسجيل هذه الأجهزة في Intune.

من ناحية أخرى، إذا كانت بيئتك تتضمن خططا للإدارة المشتركة بما في ذلك Microsoft Configuration Manager، فشاهد وثائق الإدارة المشتركة لتطوير أفضل مسار لمؤسستك. إذا كانت بيئتك تتضمن خططا الكمبيوتر السحابي لـ Windows 365، فشاهد وثائق Windows 365 Enterprise لتطوير أفضل مسار لمؤسستك.

شاهد هذا الفيديو للحصول على نظرة عامة على عملية التوزيع.

لماذا تدير نقاط النهاية؟

تمتلك المؤسسة الحديثة تنوعا لا يصدق من نقاط النهاية التي تصل إلى بياناتها. ينشئ هذا الإعداد سطح هجوم ضخم، ونتيجة لذلك، يمكن أن تصبح نقاط النهاية بسهولة الحلقة الأضعف في استراتيجية الأمان ثقة معدومة الخاصة بك.

مدفوعا في الغالب بالضرورة مع تحول العالم إلى نموذج عمل بعيد أو مختلط، يعمل المستخدمون من أي مكان، من أي جهاز، أكثر من أي وقت في التاريخ. يقوم المهاجمون بسرعة بتعديل تكتيكاتهم للاستفادة من هذا التغيير. تواجه العديد من المؤسسات موارد مقيدة أثناء تنقلها في تحديات الأعمال الجديدة هذه. بين عشية وضحاها تقريبا، سارعت الشركات إلى التحول الرقمي. ببساطة، تغيرت طريقة عمل الناس. لم نعد نتوقع الوصول إلى عدد لا يحصى من موارد الشركة فقط من المكتب وعلى الأجهزة المملوكة للشركة.

يعد الحصول على رؤية لنقاط النهاية التي تصل إلى موارد شركتك الخطوة الأولى في استراتيجية جهاز ثقة معدومة. عادة ما تكون الشركات استباقية في حماية أجهزة الكمبيوتر من الثغرات الأمنية والهجمات بينما غالبا ما تمر الأجهزة المحمولة دون مراقبة وبدون حماية. للتأكد من أنك لا تعرض بياناتك للخطر، نحتاج إلى مراقبة كل نقطة نهاية للمخاطر واستخدام عناصر تحكم وصول دقيقة لتقديم المستوى المناسب من الوصول استنادا إلى السياسة التنظيمية. على سبيل المثال، إذا كان الجهاز الشخصي مخترقا، يمكنك حظر الوصول للتأكد من عدم تعرض تطبيقات المؤسسة لثغرات أمنية معروفة.

تتناول هذه السلسلة من المقالات عملية موصى بها لإدارة الأجهزة التي تصل إلى مواردك. إذا اتبعت الخطوات الموصى بها، فستحقق مؤسستك حماية متطورة جدا لأجهزتك والموارد التي تصل إليها.

تنفيذ طبقات الحماية على الأجهزة و ل

تعد حماية البيانات والتطبيقات على الأجهزة والأجهزة نفسها عملية متعددة الطبقات. هناك بعض الحماية التي يمكنك الحصول عليها على الأجهزة غير المدارة. بعد تسجيل الأجهزة في الإدارة، يمكنك تنفيذ عناصر تحكم أكثر تعقيدا. عند نشر الحماية من التهديدات عبر نقاط النهاية الخاصة بك، يمكنك الحصول على مزيد من الرؤى والقدرة على معالجة بعض الهجمات تلقائيا. وأخيرا، إذا وضعت مؤسستك العمل في تحديد البيانات الحساسة، وتطبيق التصنيف والتسميات، وتكوين نهج تفادي فقدان البيانات في Microsoft Purview، يمكنك الحصول على حماية أكثر دقة للبيانات على نقاط النهاية الخاصة بك.

يوضح الرسم التخطيطي التالي كتل الإنشاء لتحقيق وضع أمان ثقة معدومة ل Microsoft 365 وتطبيقات SaaS الأخرى التي تقدمها لهذه البيئة. يتم ترقيم العناصر المتعلقة بالأجهزة من 1 إلى 7. سينسق مسؤولو الجهاز مع المسؤولين الآخرين لإنجاز طبقات الحماية هذه.

تنازلي.

في هذا الرسم التوضيحي:

  خطوه الوصف متطلبات الترخيص
1 تكوين نقطة البداية ثقة معدومة الهوية ونهج الوصول إلى الجهاز اعمل مع مسؤول الهوية لتنفيذ حماية بيانات نهج حماية التطبيقات (APP) من المستوى 2. لا تتطلب هذه النهج إدارة الأجهزة. يمكنك تكوين نهج التطبيق في Intune. يقوم مسؤول الهوية بتكوين نهج الوصول المشروط لطلب التطبيقات المعتمدة. E3 وE5 وF1 وF3 وF5
2 تسجيل الأجهزة في Intune تتطلب هذه المهمة المزيد من التخطيط والوقت لتنفيذها. توصي Microsoft باستخدام Intune لتسجيل الأجهزة لأن هذه الأداة توفر التكامل الأمثل. هناك العديد من الخيارات لتسجيل الأجهزة، اعتمادا على النظام الأساسي. على سبيل المثال، يمكن تسجيل أجهزة Windows باستخدام Microsoft Entra الانضمام أو باستخدام Autopilot. تحتاج إلى مراجعة الخيارات لكل نظام أساسي وتحديد خيار التسجيل الأفضل لبيئتك. راجع الخطوة 2. سجل الأجهزة في Intune للحصول على مزيد من المعلومات. E3 وE5 وF1 وF3 وF5
3 تكوين نهج التوافق تريد التأكد من أن الأجهزة التي تصل إلى تطبيقاتك وبياناتك تفي بالحد الأدنى من المتطلبات، على سبيل المثال، الأجهزة محمية بكلمة مرور أو تثبيت محمية ونظام التشغيل محدث. نهج التوافق هي طريقة لتحديد المتطلبات التي يجب أن تفي بها الأجهزة. الخطوة 3. يساعدك إعداد نهج التوافق على تكوين هذه النهج. E3، E5، F3، F5
4 تكوين نهج الوصول إلى الهوية والوصول إلى الجهاز للمؤسسة (مستحسن) ثقة معدومة الآن بعد أن تم تسجيل أجهزتك، يمكنك العمل مع مسؤول الهوية لضبط نهج الوصول المشروط لطلب أجهزة صحية ومتوافقة. E3، E5، F3، F5
5 توزيع ملفات تعريف التكوين بدلا من نهج توافق الجهاز التي تقوم ببساطة بوضع علامة على الجهاز على أنه متوافق أو لا تستند إلى المعايير التي تقوم بتكوينها، فإن ملفات تعريف التكوين تغير بالفعل تكوين الإعدادات على الجهاز. يمكنك استخدام نهج التكوين لتقوية الأجهزة ضد التهديدات الإلكترونية. راجع الخطوة 5. نشر ملفات تعريف التكوين. E3، E5، F3، F5
6 مراقبة مخاطر الجهاز وتوافقه مع خطوط الأمان الأساسية في هذه الخطوة، يمكنك توصيل Intune Microsoft Defender لنقطة النهاية. باستخدام هذا التكامل، يمكنك بعد ذلك مراقبة مخاطر الجهاز كشرط للوصول. يتم حظر الأجهزة التي تم العثور عليها في حالة خطرة. يمكنك أيضا مراقبة التوافق مع خطوط الأمان الأساسية. راجع الخطوة 6. مراقبة مخاطر الجهاز والامتثال لأساسيات الأمان. E5، F5
7 تنفيذ تفادي فقدان البيانات (DLP) مع قدرات حماية المعلومات إذا وضعت مؤسستك العمل في تحديد البيانات الحساسة ومستندات التسمية، فيمكنك العمل مع مسؤول حماية المعلومات لحماية المعلومات والمستندات الحساسة على أجهزتك. الوظيفة الإضافية لتوافق E5 وF5

تنسيق إدارة نقطة النهاية مع نهج الوصول إلى الهوية والأجهزة ثقة معدومة

يتم تنسيق هذه الإرشادات بإحكام مع نهج الهوية ثقة معدومة والوصول إلى الجهاز الموصى بها. ستعمل مع فريق الهوية الخاص بك لتنفيذ الحماية التي تقوم بتكوينها باستخدام Intune في نهج الوصول المشروط في Microsoft Entra ID.

فيما يلي رسم توضيحي لمجموعة النهج الموصى بها مع وسائل شرح الخطوات للعمل الذي ستقوم به في Intune ونهج الوصول المشروط ذات الصلة التي ستساعد في التنسيق في Microsoft Entra ID.

ثقة معدومة نهج الهوية والوصول إلى الجهاز.

في هذا الرسم التوضيحي:

  • في الخطوة 1، قم بتنفيذ نهج حماية التطبيقات من المستوى 2 (APP) التي تقوم بتكوين المستوى الموصى به لحماية البيانات باستخدام نهج التطبيق. ثم تعمل مع فريق الهوية الخاص بك لتكوين قاعدة الوصول المشروط ذات الصلة لطلب استخدام هذه الحماية.
  • في الخطوات 2 و3 و4، يمكنك تسجيل الأجهزة في الإدارة باستخدام Intune، وتحديد نهج توافق الجهاز، ثم التنسيق مع فريق الهوية لتكوين قاعدة الوصول المشروط ذات الصلة للسماح بالوصول إلى الأجهزة المتوافقة فقط.

تسجيل الأجهزة مقابل أجهزة الإلحاق

إذا اتبعت هذه الإرشادات، فستسجل الأجهزة في الإدارة باستخدام Intune وستلحق الأجهزة بقدرات Microsoft 365 التالية:

  • Microsoft Defender for Endpoint
  • Microsoft Purview (لمنع فقدان بيانات نقطة النهاية (DLP))

يوضح الرسم التوضيحي التالي بالتفصيل كيفية عمل ذلك باستخدام Intune.

عملية تسجيل الأجهزة وإلحاقها.

في الرسم التوضيحي:

  1. تسجيل الأجهزة في الإدارة باستخدام Intune.
  2. استخدم Intune لإلحاق الأجهزة ب Defender لنقطة النهاية.
  3. يتم أيضا إلحاق الأجهزة التي تم إلحاقها ب Defender لنقطة النهاية لميزات Microsoft Purview، بما في ذلك Endpoint DLP.

لاحظ أن Intune فقط هو إدارة الأجهزة. يشير الإعداد إلى قدرة الجهاز على مشاركة المعلومات مع خدمة معينة. يلخص الجدول التالي الاختلافات بين تسجيل الأجهزة في أجهزة الإدارة وإلحاقها لخدمة معينة.

  تسجيل Onboard
الوصف ينطبق التسجيل على إدارة الأجهزة. يتم تسجيل الأجهزة للإدارة باستخدام Intune أو Configuration Manager. يقوم الإعداد بتكوين جهاز للعمل مع مجموعة معينة من الإمكانات في Microsoft 365. حاليا، ينطبق الإعداد على قدرات التوافق Microsoft Defender لنقطة النهاية وMicrosoft.

على أجهزة Windows، يتضمن الإعداد تبديل إعداد في Windows Defender يسمح ل Defender بالاتصال بالخدمة عبر الإنترنت وقبول النهج التي تنطبق على الجهاز.
نطاق تدير أدوات إدارة الأجهزة هذه الجهاز بأكمله، بما في ذلك تكوين الجهاز لتحقيق أهداف محددة، مثل الأمان. يؤثر الإعداد فقط على الخدمات التي تنطبق.
الأسلوب الموصى به يقوم Microsoft Entra الانضمام بتسجيل الأجهزة تلقائيا في Intune. Intune هو الأسلوب المفضل لإلحاق الأجهزة ب Windows Defender لنقطة النهاية، وبالتالي إمكانات Microsoft Purview.

لاحظ أن الأجهزة التي تم إلحاقها بإمكانيات Microsoft Purview باستخدام أساليب أخرى لا يتم تسجيلها تلقائيا ل Defender لنقطة النهاية.
طرق أخرى تعتمد طرق التسجيل الأخرى على النظام الأساسي للجهاز وما إذا كان BYOD أو تديره مؤسستك. تتضمن الطرق الأخرى لإلحاق الأجهزة بالترتيب الموصى به:
  • إدارة التكوين
  • أداة أخرى لإدارة الأجهزة المحمولة (إذا كان الجهاز مدارا بواسطة واحدة)
  • البرنامج النصي المحلي
  • حزمة تكوين VDI لإلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة
  • نهج المجموعة
    		•

    تعلم المسؤولين

    تساعد الموارد التالية المسؤولين على تعلم مفاهيم حول استخدام Intune.

    • تبسيط إدارة الأجهزة باستخدام وحدة التدريب Microsoft Intune

      تعرف على كيفية تزويد حلول إدارة الأعمال من خلال Microsoft 365 للأشخاص بتجربة سطح مكتب آمنة ومخصصة ومساعدة المؤسسات على إدارة التحديثات بسهولة لجميع الأجهزة التي تتمتع بتجربة مسؤول مبسطة.

    • تقييم Microsoft Intune

      يساعدك Microsoft Intune على حماية الأجهزة والتطبيقات والبيانات التي يستخدمها الأشخاص في مؤسستك لكي يكونوا منتجين. توضح لك هذه المقالة كيفية إعداد Microsoft Intune. يتضمن الإعداد مراجعة التكوينات المدعومة، والاعداد للحصول على Intune، وإضافة مستخدمين ومجموعات، وتعيين تراخيص للمستخدمين، ومنح أذونات المسؤول، وتعيين سلطة إدارة الجهاز الجوال (MDM).

    الخطوة التالية

    انتقل إلى الخطوة 1. تنفيذ نهج حماية التطبيقات.