Ochrana dat a zařízení v Microsoft Intune

Microsoft Intune vám může pomoct udržovat spravovaná zařízení zabezpečená a aktuální a současně chránit data vaší organizace před ohrožených zařízeními. Ochrana dat zahrnuje kontrolu nad tím, co uživatelé dělají s daty organizace na spravovaných i nespravovaných zařízeních. Ochrana dat se vztahuje také na blokování přístupu k datům ze zařízení, která mohou být ohrožena.

Tento článek popisuje řadu integrovaných funkcí Intune a partnerských technologií, které můžete integrovat s Intune. Když se o nich dozvíte více, můžete několik z nich spojit a získat tak komplexnější řešení na cestě k prostředí s nulovou důvěryhodností.

V centru Microsoft Endpoint Manager pro správu Intune podporuje spravovaná zařízení s Androidem, iOS/iPad, macOS a Windows 10.

Pokud ke správě Správce konfigurace zařízení používáte nástroj , můžete zásady Intune rozšířit na tato zařízení tím, že nakonfigurujete připojení tenanta nebo spoluspravování.

Intune může pracovat také s informacemi ze zařízení, která spravujete, s produkty třetích stran, které zajišťují dodržování předpisů zařízením a ochranu před mobilními hrozbách.

Ochrana zařízení prostřednictvím zásad

Nasaďte zásady konfigurace zařízení a dodržování předpisů zařízení v Intune a nakonfigurujte zařízení tak, aby splňovala cíle zabezpečení vaší organizace. Zásady podporují jeden nebo více profilů, což jsou samostatné sady pravidel specifických pro platformu, která nasazujete do skupin zaregistrovaých zařízení.

  • Pomocí zásad konfigurace zařízeníspravujte profily, které definují nastavení a funkce, které zařízení používají ve vaší organizaci. Konfigurace zařízení pro ochranu koncových bodů, zřizování certifikátů pro ověřování, nastavení chování aktualizací softwaru a další.

  • Pomocí zásad dodržování předpisů zařízenímivytvoříte profily pro různé platformy zařízení, které stanoví požadavky na zařízení. Požadavky mohou zahrnovat verze operačního systému, použití šifrování disků nebo konkrétní úrovně hrozeb definované softwarem pro správu hrozeb.

    Intune může chránit zařízení, která nevyhovují vašim zásadám, a upozornit uživatele zařízení, aby zařízení bylo v souladu s předpisy.

    Když do kombinace přidáte podmíněný přístup, nakonfigurujte zásady, které povolí přístup k prostředkům vaší sítě a organizace jenom kompatibilním zařízením. Omezení přístupu mohou zahrnovat sdílené složky a e-mail společnosti. Zásady podmíněného přístupu fungují také s daty o stavu zařízení hlášených partnery dodržování předpisů zařízeními třetích stran, které integrujete s Intune.

Tady je několik nastavení zabezpečení a úloh, které můžete spravovat prostřednictvím zásad zařízení:

  • Šifrování zařízení – Umožňuje spravovat BitLocker na Windows 10 zařízeních a FileVault v macOS.

  • Metody ověřování – Nakonfigurujte způsob, jakým se vaše zařízení ověřují v zdrojích, e-mailu a aplikacích vaší organizace.

    • Certifikáty můžete použít k ověřování aplikací, prostředků organizace a podepisování a šifrování e-mailů pomocí S/MIME. Odvozené přihlašovací údaje můžete nastavit také v případě, že vaše prostředí vyžaduje použití čipových karet.

    • Nakonfigurujte nastavení, která pomáhají omezit riziko, například:

      • Vyžadovat vícefaktorové ověřování (MFA) k přidání další vrstvy ověřování pro uživatele.
      • Nastavte si požadavky na PIN a heslo, které je nutné splnit, než budete mít přístup k prostředkům.
      • Povolte Windows Hello pro firmy pro Windows 10 zařízení.
  • Virtuální privátní sítě (VPN) – Pomocí profilů VPN přiřaďte zařízením nastavení sítě VPN, aby se mohli snadno připojit k síti vaší organizace. Intune podporuje několik typů připojení VPN a aplikací, které zahrnují jak integrované funkce pro některé platformy, tak aplikace VPN první i třetí strany pro zařízení.

  • Aktualizace softwaru – Umožňuje spravovat, jak a kdy zařízení chytá aktualizace softwaru.

    • V případě iOSuspravujte verze operačního systému zařízení a kdy zařízení kontrolula a instaluje aktualizace.
    • V Windows 10můžete spravovat prostředí Windows Update pro zařízení. Můžete nakonfigurovat, kdy zařízení budou kontrolovat nebo instalovat aktualizace, obsahovat sadu spravovaných zařízení v konkrétních verzích funkcí a další.
  • Standardní hodnoty zabezpečeníNasaďte standardní hodnoty zabezpečení pro vytvoření základního stavu zabezpečení na vašich Windows 10 zařízeních. Standardní hodnoty zabezpečení jsou předem nakonfigurované skupiny Windows nastavení, která doporučují příslušné produktové týmy. Můžete použít směrné plány jako poskytnuté nebo upravit jejich instance tak, aby splňovaly vaše cíle zabezpečení pro cílové skupiny zařízení.

Ochrana dat prostřednictvím zásad

Aplikace spravované přes Intune a zásady ochrany aplikací v Intune můžou pomoct zastavit úniky dat a udržet data ve vaší organizaci v bezpečí. Tato ochrana se může vztahovat na zařízení, která jsou zaregistrovaná v Intune, a na zařízení, která nejsou.

  • Aplikace spravované přes Intune (nebo zkráceně spravované aplikace) jsou aplikace, které jsou integrované se sadou Intune App SDK nebo zabalené službou Intune App Wrapping Tool. Tyto aplikace je možné spravovat pomocí zásad ochrany aplikací Intune. Pokud chcete zobrazit seznam veřejně dostupných spravovaných aplikací, podívejte se na část Chráněné aplikace Intune.

    Uživatelé mohou používat spravované aplikace k práci s daty vaší organizace i s jejich vlastními osobními daty. Pokud ale zásady ochrany aplikací vyžadují použití spravované aplikace, je spravovaná aplikace jedinou aplikací, kterou je možné použít pro přístup k datům vaší organizace. Ochrana aplikací pravidla se nevztahují na osobní údaje uživatele.

  • Ochrana aplikací jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo obsažená ve spravované aplikaci. Pravidla identifikují spravovanou aplikaci, kterou je nutné použít, a definují, co je možné s daty dělat, když se aplikace používá.

Tady jsou příklady ochrany a omezení, které můžete nastavit pomocí zásad ochrany aplikací a spravovaných aplikací:

  • Nakonfigurujte ochranu na vrstvě aplikace, jako je vyžadování kódu PIN k otevření aplikace v pracovním kontextu.
  • Můžete řídit sdílení dat organizace mezi aplikacemi na zařízení, jako je blokování kopírování a vkládání nebo zachycení snímku obrazovky.
  • Zabraňte ukládání dat vaší organizace do osobních úložišť.

Použití akcí zařízení k ochraně zařízení a dat

V Microsoft Endpoint Manager pro správu můžete spouštět akce zařízení, které pomáhají udržet vybrané zařízení chráněné. Můžete spustit podmnožinu těchto akcí jako hromadné akce zařízení, které ovlivní více zařízení současně. Se spoluspravovaná zařízeními je také možné použít několik vzdálených akcí z Intune.

Akce zařízení nejsou zásadou a projeví se při vyvolání jednou. Použijí se buď okamžitě, pokud je zařízení přístupné on-line, nebo při dalším spuštění zařízení nebo při pokusu o ověření v Intune. Tyto akce považují za doplněk k používání zásad, které konfiguruje a udržují konfigurace zabezpečení pro populaci zařízení.

Tady jsou příklady akcí, které můžete spustit a které pomáhají zabezpečit zařízení a data:

Zařízení spravovaná pomocí Intune:

  • Rotace klíčů nástroje BitLocker (Windows jenom pro čtení)
  • Zakázání zámku aktivace (jenom iOS)
  • Úplná nebo rychlá kontrola (Windows 10)
  • vzdálené uzamčení
  • Vyřazení (odebrání dat organizace ze zařízení a ponechání osobních dat beze změny)
  • Aktualizace funkce Security Intelligence v programu Microsoft Defender
  • Vymazání (obnovení továrního nastavení zařízení, odebrání všech dat, aplikací a nastavení)

Zařízení spravovaná Správce konfigurace:

  • Vyřazení
  • Vymazání
  • Synchronizace (vynucení okamžitého vrácení zařízení se službou Intune a vyhledání nových zásad nebo nevyřízených akcí)

Integrace s jinými produkty

Intune podporuje integraci s partnerskými aplikacemi ze zdrojů třetích stran i třetích stran, které rozšiřují své integrované možnosti. Intune můžete také integrovat s několika technologiemi Microsoftu.

Partnerské technologie

Intune může používat data od integrovaných partnerů pro dodržování předpisů a partnerů ochrany před mobilními hrozby:

  • Partneři pro dodržování předpisů – Přečtěte si o partnerech pro dodržování předpisů zařízeními v Intune. Když spravujete zařízení s jiným partnerem pro správu mobilních zařízení než Intune, můžete tato data dodržování předpisů integrovat s Azure Active Directory. Po integrování mohou být partnerská data používána zásadami podmíněného přístupu společně s daty dodržování předpisů z Intune.

  • Ochrana před mobilními hrozbami – aplikace Mobile Threat Defense můžou v zařízeních hledat hrozby a pomáhají identifikovat riziko povolení přístupu zařízení k prostředkům a datům vaší organizace. Tuto úroveň rizika pak můžete použít v různých zásadách, jako jsou zásady podmíněného přístupu, které vám pomůžou získat přístup k těm prostředkům.

Configuration Manager

Mnoho zásad Intune a akcí zařízení můžete použít k ochraně spravovanýchzařízení pomocí Správce konfigurace . Pokud chcete tato zařízení podporovat, nakonfigurujte spolusou správu nebo připojení tenanta. Můžete také použít obojí společně s Intune.

  • Spoluspravování umožňuje souběžnou správu Windows 10 zařízení pomocí Správce konfigurace i Intune. Nainstalujete klienta Správce konfigurace a zaregistrujete zařízení do Intune. Zařízení komunikuje s oběma službami.

  • Připojení tenanta nastaví synchronizaci mezi vaším Správce konfigurace a vaším tenantem Intune. Tato synchronizace poskytuje jedno zobrazení pro všechna zařízení, která spravujete pomocí Microsoft Endpoint Manager.

Po navázání připojení mezi Intune a Správce konfigurace jsou zařízení z Správce konfigurace dostupná v centru Microsoft Endpoint Manager pro správu. Potom můžete na tato zařízení nasadit zásady Intune nebo je chránit pomocí akcí zařízení.

Mezi ochrany, které můžete použít, patří:

  • Nasaďte certifikáty do zařízení pomocí profilů certifikátů Intune Simple Certificate Enrollment Protocol (SCEP) nebo profilů certifikátů páru privátních a veřejných klíčů (PKCS).
  • Použijte zásady dodržování předpisů.
  • Použijte zásady zabezpečení koncových bodů, jako je antivirus, detekce koncových bodů a reakce, a pravidla brány firewall.
  • Použití standardních hodnot zabezpečení
  • Správa Windows aktualizací

Aplikace Mobile Threat Defense

Aplikace ochrany před mobilními hrozbami (MTD) aktivně kontrolují a analyzují v zařízeních hrozby. Když integrujte (připojíte) aplikace Mobile Threat Defense s Intune, získáte hodnocení úrovně hrozeb pro zařízení. Vyhodnocení úrovně hrozeb pro zařízení je důležitým nástrojem pro ochranu prostředků vaší organizace před ohroženou mobilními zařízeními.

Používejte data na úrovni hrozby se zásadami dodržování předpisů zařízením, ochrany aplikací a podmíněného přístupu. Tyto zásady používají data k zablokování přístupu zařízení, která nedodržují předpisy, k prostředkům vaší organizace.

S integrovanou aplikací MTD:

  • Pro zaregistrovaná zařízení:

    • Pomocí Intune nasaďte a pak spravujte aplikaci MTD na zařízeních.
    • Nasaďte zásady dodržování předpisů zařízením, které k vyhodnocení dodržování předpisů používají úroveň hrozeb hlášená zařízeními.
    • Definujte zásady podmíněného přístupu, které zvažují úroveň hrozeb pro zařízení.
    • Definováním zásad ochrany aplikací určíte, kdy blokovat nebo povolit přístup k datům na základě úrovně hrozby zařízení.
  • U zařízení, která se nezapisují do Intune, ale používají aplikaci MTD integrovanou s Intune, použijte k blokování přístupu k datům vaší organizace data na úrovni hrozeb se zásadami ochrany aplikací.

Intune podporuje integraci s:

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint sám o sobě poskytuje několik výhod zaměřených na zabezpečení. Microsoft Defender for Endpoint se také integruje s Intune a podporuje se na několika platformách zařízení. Díky integraci získáte aplikaci ochrany před mobilními hrozbami a přidáte do Intune funkce pro zajištění bezpečnosti dat a zařízení. Mezi tyto možnosti patří:

  • Podpora pro Microsoft Tunnel – Na zařízeních s Androidem je Microsoft Defender for Endpoint klientská aplikace, kterou používáte s Microsoft Tunnel, řešením brány VPN pro Intune. Při použití Microsoft Tunnel klienta nepotřebujete předplatné pro Microsoft Defender for Endpoint.

  • Úlohy zabezpečení – Díky úlohámzabezpečení mohou správci Intune využívat výhody funkcí Threat and Vulnerability Management Microsoft Defenderu for Endpoint. Jak to funguje:

    • Váš tým služby Defender for Endpoint identifikuje ohrožená zařízení a vytvoří úlohy zabezpečení pro Intune v Centru zabezpečení služby Defender for Endpoint.
    • Tyto úlohy se zobrazí v Intune s radami pro zmírnění rizika, které mohou správci Intune použít ke zmírnění rizika.
    • Po vyřešení úlohy v Intune se tento stav předá zpět do centra zabezpečení Defenderu for Endpoint, kde je možné vyhodnotit výsledky zmírnění problému.
  • Zásady zabezpečení koncových bodů – Následující zásady zabezpečení koncových bodů Intune vyžadují integraci s Microsoft Defenderem for Endpoint. Když použijete připojení tenanta, můžete tyto zásady nasadit na zařízení, která spravujete pomocí Intune nebo Správce konfigurace.

    • Zásady antivirové ochrany – Spravujte nastavení pro Antivirová ochrana v programu Microsoft Defender a Zabezpečení Windows na podporovaných zařízeních, jako jsou Windows 10 a macOS.

    • Zásady detekce koncových bodů a odpovědí – Pomocí této zásady můžete detekce a reakce u koncových bodů (EDR), což je funkce Microsoft Defenderu for Endpoint.

Podmíněný přístup

Podmíněný přístup je Azure Active Directory (Azure AD), která pomáhá chránit zařízení pomocí Intune. Pro zařízení, která se registruje ve službě Azure AD, mohou zásady podmíněného přístupu používat podrobnosti o zařízení a dodržování předpisů z Intune k vynucování rozhodnutí o přístupu pro uživatele a zařízení.

Zkombinujte zásady podmíněného přístupu s:

  • Zásady dodržování předpisů zařízením mohou vyžadovat, aby bylo zařízení označené jako vyhovující, než bude možné toto zařízení použít pro přístup k prostředkům vaší organizace. Zásady podmíněného přístupu určují služby aplikací, které chcete chránit, podmínky, za kterých je možné k aplikacím nebo službám přistupovat, a uživatele, na které se zásady vztahují.

  • Ochrana aplikací zásady mohou přidat vrstvu zabezpečení, která zajišťuje, aby k vašim online prostředkům, jako jsou Exchange nebo jiné Microsoft 365 služby, měly přístup jenom klientské aplikace, které podporují zásady ochrany aplikací Intune.

Podmíněný přístup také funguje s následujícími funkcemi, které vám pomůžou zabezpečit zařízení:

  • Microsoft Defender for Endpoint a aplikace MTD třetích stran
  • Partnerské aplikace pro dodržování předpisů zařízením
  • Microsoft Tunnel

Další kroky

Naplánujte použití funkcí Intune na podporu vaší cesty k prostředí s nulovou důvěryhodností tím, že ochráníte svá data a zabezpečíte zařízení. Kromě předchozích v řádových odkazů se o těchto možnostech dozvíte další informace o zabezpečení a sdílení dat v Intune.