Ochrana dat a zařízení pomocí Microsoft Intune

Microsoft Intune vám můžou pomoct udržovat spravovaná zařízení zabezpečená a aktuální a zároveň chránit data vaší organizace před ohroženými zařízeními. Ochrana dat zahrnuje kontrolu nad tím, co uživatelé dělají s daty organizace na spravovaných i nespravovaných zařízeních. Ochrana dat se vztahuje také na blokování přístupu k datům ze zařízení, která by mohla být ohrožena.

Tento článek popisuje řadu předdefinovaných funkcí Intune a partnerských technologií, které můžete integrovat s Intune. Když se o nich dozvíte víc, můžete na své cestě k prostředí s nulovou důvěryhodností spojit několik z nich a získat komplexnější řešení.

V Centru pro správu Microsoft Intune Intune podporuje spravovaná zařízení s Androidem, iOS/iPadem, Linuxem, macOS a Windows 10 a Windows 11.

Pokud ke správě místních zařízení používáte Configuration Manager, můžete na tato zařízení rozšířit zásady Intune tak, že nakonfigurujete připojení nebospolusprávu tenanta.

Intune může také pracovat s informacemi ze zařízení, která spravujete, s produkty třetích stran, které zajišťují dodržování předpisů zařízením a ochranu před mobilními hrozbami.

Ochrana zařízení prostřednictvím zásad

Nasaďte zásady zabezpečení koncových bodů, konfigurace zařízení a dodržování předpisů pro zařízení intune a nakonfigurujte zařízení tak, aby splňovala cíle zabezpečení vaší organizace. Zásady podporují jeden nebo více profilů, což jsou samostatné sady pravidel specifických pro platformu, které nasazujete do skupin zaregistrovaných zařízení.

• Pomocí zásad zabezpečení koncových bodů nasaďte zásady zaměřené na zabezpečení, které jsou navržené tak, aby vám pomohly zaměřit se na zabezpečení vašich zařízení a zmírnit rizika. Dostupné úlohy vám můžou pomoct identifikovat riziková zařízení, opravit tato zařízení a obnovit je do vyhovujícího nebo bezpečnějšího stavu.

• Pomocí zásad konfigurace zařízení můžete spravovat profily, které definují nastavení a funkce, které zařízení používají ve vaší organizaci. Nakonfigurujte zařízení pro ochranu koncových bodů, zřiďte certifikáty pro ověřování, nastavte chování aktualizací softwaru a další.

• Pomocí zásad dodržování předpisů pro zařízení vytváříte profily pro různé platformy zařízení, které stanoví požadavky na zařízení. Požadavky můžou zahrnovat verze operačního systému, použití šifrování disků nebo konkrétní úrovně hrozeb definované softwarem pro správu hrozeb.

  Intune může chránit zařízení, která nevyhovují vašim zásadám, a upozornit uživatele zařízení, aby mohl zařízení zajistit dodržování předpisů.

  Když do kombinace přidáte podmíněný přístup , nakonfigurujte zásady, které umožní přístup k síti a prostředkům organizace pouze zařízením vyhovujícím předpisům. Omezení přístupu můžou zahrnovat sdílené složky a firemní e-maily. Zásady podmíněného přístupu také fungují s daty o stavu zařízení hlášenými externími partnery pro dodržování předpisů zařízeními , které integrujete s Intune.

Tady je několik nastavení zabezpečení a úloh, které můžete spravovat prostřednictvím dostupných zásad:

• Šifrování zařízení – Správa nástroje BitLocker na Windows 10 zařízeních a FileVault v macOS.

• Metody ověřování – Umožňuje nakonfigurovat způsob ověřování zařízení v prostředcích, e-mailech a aplikacích vaší organizace.

  • Používejte certifikáty pro ověřování aplikací, prostředků vaší organizace a pro podepisování a šifrování e-mailů pomocí S/MIME. Odvozené přihlašovací údaje můžete nastavit také v případech, kdy vaše prostředí vyžaduje použití čipových karet.

  • Nakonfigurujte nastavení, která pomáhají omezit rizika, například:

    • Vyžadovat vícefaktorové ověřování (MFA) pro přidání další vrstvy ověřování pro uživatele.
    • Nastavte požadavky na KÓD PIN a heslo, které musí být splněné před získáním přístupu k prostředkům.
    • Povolte Windows Hello pro firmy pro Windows 10 zařízení.

• Virtuální privátní sítě (VPN) – Pomocí profilů VPN přiřaďte zařízením nastavení sítě VPN, aby se mohli snadno připojit k síti vaší organizace. Intune podporuje několik typů připojení VPN a aplikací, které zahrnují jak integrované funkce pro některé platformy, tak aplikace VPN pro první i třetí strany pro zařízení.

• Aktualizace softwaru – Umožňuje spravovat, jak a kdy zařízení získávají aktualizace softwaru. Podporují se následující:

  • Aktualizace firmwaru Androidu :
    • Firmware Over-the-Air (FOTA) – Podporované některými OEMs, můžete pomocí funkce FOTA vzdáleně aktualizovat firmware zařízení.
    • Zebra LifeGuard Over-the-Air (LG OTA) – Správa aktualizací firmwaru pro podporovaná zařízení Zebra prostřednictvím Centra pro správu Intune.
  • iOS – Umožňuje spravovat verze operačního systému zařízení a když zařízení vyhledá a nainstalují aktualizace.
  • macOS – Správa aktualizací softwaru pro zařízení s macOS, která se zaregistrovala jako zařízení pod dohledem.
  • Windows 10 můžete spravovat služba Windows Update prostředí pro zařízení. Můžete nakonfigurovat, kdy zařízení prohledávají nebo instalují aktualizace, uchovávají sadu spravovaných zařízení v konkrétních verzích funkcí a další.

• Standardní hodnoty zabezpečení – Nasaďte standardní hodnoty zabezpečení, abyste na svých Windows 10 zařízeních vytvořili základní stav zabezpečení. Standardní hodnoty zabezpečení jsou předkonfigurované skupiny nastavení Windows, které doporučují příslušné produktové týmy. Standardní hodnoty můžete použít tak, jak jsou k dispozici, nebo jejich instance upravit, abyste splnili cíle zabezpečení cílových skupin zařízení.

Ochrana dat prostřednictvím zásad

Aplikace spravované v Intune a zásady ochrany aplikací Intune vám můžou pomoct zastavit úniky dat a udržovat data vaší organizace v bezpečí. Tato ochrana se může vztahovat na zařízení zaregistrovaná v Intune a na zařízení, která nejsou zaregistrovaná.

• Aplikace spravované přes Intune (nebo spravované aplikace) jsou aplikace, které jsou integrované se sadou Intune App SDK nebo zabalené App Wrapping Tool Intune. Tyto aplikace je možné spravovat pomocí zásad ochrany aplikací Intune. Pokud chcete zobrazit seznam veřejně dostupných spravovaných aplikací, přečtěte si téma Chráněné aplikace Intune.

  Uživatelé můžou používat spravované aplikace k práci s daty vaší organizace i s vlastními osobními údaji. Pokud ale zásady ochrany aplikací vyžadují použití spravované aplikace, je spravovaná aplikace jedinou aplikací, která se dá použít pro přístup k datům vaší organizace. Ochrana aplikací pravidla se nevztahují na osobní údaje uživatele.

• Ochrana aplikací zásady jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Pravidla identifikují spravovanou aplikaci, kterou je potřeba použít, a definují, co se dá s daty dělat, když se aplikace používá.

Tady jsou příklady ochrany a omezení, které můžete nastavit pomocí zásad ochrany aplikací a spravovaných aplikací:

• Nakonfigurujte ochranu vrstvy aplikací, jako je vyžadování KÓDU PIN k otevření aplikace v pracovním kontextu.
• Můžete řídit sdílení dat organizace mezi aplikacemi na zařízení, jako je blokování kopírování a vkládání nebo zachycení obrazovky.
• Zabraňte ukládání dat vaší organizace do osobních úložišť.

Použití akcí zařízení k ochraně zařízení a dat

V Centru pro správu Microsoft Intune můžete spouštět akce zařízení, které pomáhají udržet vybrané zařízení chráněné. Podmnožinu těchto akcí můžete spustit jako hromadné akce zařízení , které ovlivní více zařízení současně. A několik vzdálených akcí z Intune je také možné použít se spoluspravováním zařízení.

Akce zařízení nejsou zásady a při vyvolání se projeví jednorázově. Použijí se okamžitě, pokud je zařízení přístupné on-line, nebo když se zařízení příště spustí nebo se přihlásí pomocí Intune. Tyto akce se považují za doplněk k použití zásad, které konfigurují a udržují konfigurace zabezpečení pro populaci zařízení.

Tady jsou příklady akcí, které můžete spustit a které pomáhají zabezpečit zařízení a data:

Zařízení spravovaná službou Intune:

• Obměny klíčů nástroje BitLocker (jenom Windows)
• Zakázat zámek aktivace (jenom iOS)
• Úplná nebo rychlá kontrola (jenom Windows 10)
• Vzdálené uzamčení
• Vyřazení (které odebere data vaší organizace ze zařízení a osobní data ponechá beze změny)
• Aktualizace Microsoft Defender Security Intelligence
• Vymazání (obnovení továrního nastavení zařízení, odebrání všech dat, aplikací a nastavení)

Zařízení spravovaná službou Configuration Manager:

• Vyřazení
• Vymazání
• Synchronizace (vynucení okamžitého přihlášení zařízení k Intune a vyhledání nových zásad nebo čekajících akcí)

Integrace s dalšími produkty a partnerskými technologiemi

Intune podporuje integraci s partnerskými aplikacemi ze zdrojů první strany i třetích stran, které rozšiřují integrované funkce. Intune můžete také integrovat s několika technologiemi Microsoftu.

Partneři pro dodržování předpisů

Přečtěte si o používání partnerů pro dodržování předpisů zařízeními s Intune. Když spravujete zařízení pomocí jiného partnera pro správu mobilních zařízení, než je Intune, můžete data o dodržování předpisů integrovat s Microsoft Entra ID. Po integraci můžou zásady podmíněného přístupu používat data partnerů společně s daty dodržování předpisů z Intune.

Správce konfigurace

K ochraně zařízení spravovaných pomocí Configuration Manager můžete použít mnoho zásad Intune a akcí zařízení. Pokud chcete tato zařízení podporovat, nakonfigurujte spolusprávu nebo připojení tenanta. Obojí můžete použít také společně s Intune.

• Se spolusprávou můžete současně spravovat Windows 10 zařízení pomocí Configuration Manager i Intune. Nainstalujete klienta Configuration Manager a zaregistrujete zařízení do Intune. Zařízení komunikuje s oběma službami.

• Pomocí připojení tenanta nastavíte synchronizaci mezi Configuration Manager webem a tenantem Intune. Tato synchronizace poskytuje jedno zobrazení pro všechna zařízení, která spravujete pomocí Microsoft Intune.

Po navázání připojení mezi Intune a Configuration Manager budou zařízení z Configuration Manager dostupná v Centru pro správu Microsoft Intune. Pak můžete na tato zařízení nasadit zásady Intune nebo je chránit pomocí akcí zařízení.

Mezi ochrany, které můžete použít, patří:

• Nasaďte certifikáty do zařízení pomocí intune SCEP (Simple Certificate Enrollment Protocol ) nebo profilů certifikátů PKCS ( Private And Public Key Pair ).
• Použijte zásady dodržování předpisů.
• Používejte zásady zabezpečení koncových bodů, jako je antivirová ochrana, detekce a reakce koncových bodů a pravidla brány firewall .
• Použití standardních hodnot zabezpečení
• Správa windows Aktualizace.

Aplikace ochrany před mobilními hrozbami

Aplikace ochrany před mobilními hrozbami (MTD) aktivně kontrolují a analyzují hrozby v zařízeních. Když integrujete (připojíte) aplikace Mobile Threat Defense s Intune, získáte hodnocení aplikací na úrovni ohrožení zařízení. Vyhodnocení úrovně ohrožení nebo rizika zařízení je důležitým nástrojem pro ochranu prostředků vaší organizace před ohroženými mobilními zařízeními. Tuto úroveň hrozby pak můžete použít v různých zásadách, jako jsou zásady podmíněného přístupu, a zajistit tak přístup k těmto prostředkům.

Používejte data na úrovni hrozeb se zásadami dodržování předpisů zařízením, ochrany aplikací a podmíněného přístupu. Tyto zásady používají data k tomu, aby zařízením, která nedodržují předpisy, zabránily přístupu k prostředkům vaší organizace.

S integrovanou aplikací MTD:

• Pro zaregistrovaná zařízení:

  • Pomocí Intune nasaďte a pak spravujte aplikaci MTD na zařízeních.
  • Nasaďte zásady dodržování předpisů pro zařízení, které používají úroveň hrozeb nahlášených zařízeními k vyhodnocení dodržování předpisů.
  • Definujte zásady podmíněného přístupu, které berou v úvahu úroveň ohrožení zařízení.
  • Definujte zásady ochrany aplikací a určete, kdy se má blokovat nebo povolit přístup k datům na základě úrovně hrozby zařízení.

• U zařízení, která se neregistrují v Intune , ale používají aplikaci MTD, která se integruje s Intune, použijte jejich data na úrovni hrozeb se zásadami ochrany aplikací a zablokujte přístup k datům vaší organizace.

Intune podporuje integraci s:

• Několik partnerů MTD třetích stran.
• Microsoft Defender for Endpoint, která podporuje další možnosti s Intune.

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint sám o sobě poskytuje několik výhod zaměřených na zabezpečení. Microsoft Defender for Endpoint se také integruje s Intune a podporuje se na několika platformách zařízení. Díky integraci získáte aplikaci pro ochranu před mobilními hrozbami a přidáte do Intune funkce pro zabezpečení dat a zařízení. Mezi tyto možnosti patří:

• Podpora tunelu Microsoft – na zařízeních s Androidem Microsoft Defender for Endpoint je klientská aplikace, kterou používáte s Tunelem Microsoft, řešením brány VPN pro Intune. Pokud se používá jako klientská aplikace Microsoft Tunnel, nepotřebujete předplatné pro Microsoft Defender for Endpoint.

• Úlohy zabezpečení – Díky úlohám zabezpečení můžou správci Intune využívat možnosti Microsoft Defender for Endpoint Threat and Vulnerability Management. Jak to funguje:

  • Váš tým Defenderu for Endpoint identifikuje riziková zařízení a vytvoří úlohy zabezpečení pro Intune v Centru zabezpečení defenderu for Endpoint.
  • Tyto úlohy se v Intune zobrazují s doporučeními ke zmírnění rizik, které můžou správci Intune použít ke zmírnění rizika.
  • Když se úloha vyřeší v Intune, tento stav se předá zpět do Centra zabezpečení Defenderu for Endpoint, kde je možné vyhodnotit výsledky zmírnění rizik.

• Zásady zabezpečení koncových bodů – Následující zásady zabezpečení koncových bodů Intune vyžadují integraci s Microsoft Defender for Endpoint. Když používáte připojení tenanta, můžete tyto zásady nasadit na zařízení, která spravujete pomocí Intune, nebo Configuration Manager.

  • Zásady antivirové ochrany – Umožňuje spravovat nastavení pro Microsoft Defender Antivirus a prostředí Zabezpečení Windows na podporovaných zařízeních, jako jsou Windows 10 a macOS.

  • Zásady detekce koncových bodů a odpovědí – Pomocí této zásady můžete nakonfigurovat detekci a odezvu koncových bodů (EDR), což je funkce Microsoft Defender for Endpoint.

Podmíněný přístup

Podmíněný přístup je funkce Microsoft Entra, která spolupracuje s Intune a pomáhá chránit zařízení. U zařízení, která se registrují pomocí Microsoft Entra ID, můžou zásady podmíněného přístupu používat podrobnosti o zařízení a dodržování předpisů z Intune k vynucení rozhodnutí o přístupu pro uživatele a zařízení.

Kombinovat zásady podmíněného přístupu s:

• Zásady dodržování předpisů zařízením můžou vyžadovat, aby bylo zařízení označené jako vyhovující, než bude možné ho použít pro přístup k prostředkům vaší organizace. Zásady podmíněného přístupu určují služby aplikací, které chcete chránit, podmínky přístupu k aplikacím nebo službám a uživatele, na které se zásady vztahují.

• Ochrana aplikací zásady můžou přidat vrstvu zabezpečení, která zajistí, že k vašim online prostředkům, jako je Exchange nebo jiné služby Microsoftu 365, budou mít přístup jenom klientské aplikace, které podporují zásady ochrany aplikací Intune.

Podmíněný přístup také funguje s následujícími funkcemi, které pomáhají zajistit zabezpečení zařízení:

• Microsoft Defender for Endpoint a aplikace MTD třetích stran
• Partnerské aplikace pro dodržování předpisů pro zařízení
• Microsoft Tunnel

Přidání správy oprávnění koncového bodu

Správa oprávnění koncového bodu (EPM) umožňuje spouštět uživatele Windows jako standardní uživatele a zvýšovat oprávnění jenom v případě potřeby podle organizačních pravidel a parametrů nastavených vaší organizací. Tento návrh podporuje vynucování přístupu s nejnižšími oprávněními, což je základní tenant architektury zabezpečení nulová důvěra (Zero Trust). EPM umožňuje IT týmům efektivněji spravovat standardní uživatele a omezit jejich možnosti útoku tím, že zaměstnancům umožňuje pracovat pouze jako správci pro konkrétní schválené aplikace nebo úkoly.

Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.

Nasazením pravidel zvýšení oprávnění EPM, která definujete, můžete povolit spouštění v kontextu se zvýšenými oprávněními pouze aplikacím, kterým důvěřujete. Vaše pravidla můžou například vyžadovat shodu hodnot hash souboru nebo přítomnost certifikátu k ověření integrity souborů před spuštěním na zařízení.

Tip

Správa oprávnění koncového bodu je dostupná jako doplněk Intune, který k použití vyžaduje další licenci a podporuje Windows 10 a Windows 11 zařízení.

Další informace najdete v tématu Správa oprávnění koncového bodu.

Další kroky

Naplánujte si využití funkcí Intune k podpoře vaší cesty k prostředí s nulovou důvěryhodností tím, že ochráníte svá data a zařízení. Další informace o těchto možnostech najdete v tématu o zabezpečení dat a sdílení dat v Intune.