Share via

Trin 5. Udrul enhedsprofiler i Microsoft Intune

  • Artikel

Microsoft Intune indeholder indstillinger og funktioner, du kan aktivere eller deaktivere på forskellige enheder i organisationen. Disse indstillinger og funktioner føjes til "konfigurationsprofiler". Du kan oprette profiler til forskellige enheder og forskellige platforme, herunder iOS/iPadOS, Android-enhedsadministrator, Android Enterprise og Windows. Brug derefter Intune til at anvende eller "tildele" profilen til enhederne.

Denne artikel indeholder en vejledning i at komme i gang med konfigurationsprofiler.

Det fjerde trin i Mobile Enhedshåndtering til at gennemtvinge sikre indstillinger på enheder med konfigurationsprofiler.

Konfigurationsprofiler giver dig mulighed for at konfigurere vigtig beskyttelse og sikre overholdelse af angivne standarder for enheder, så de kan få adgang til dine ressourcer. Tidligere blev disse konfigurationsændringer konfigureret ved hjælp af Gruppepolitik indstillinger i Active Directory-domæneservices. En moderne sikkerhedsstrategi omfatter flytning af sikkerhedskontroller til cloudmiljøet, hvor håndhævelsen af disse kontrolelementer ikke er afhængig af ressourcer og adgang i det lokale miljø. Intune konfigurationsprofiler er den måde, hvorpå du kan overføre disse sikkerhedskontroller til cloudmiljøet.

Hvis du vil have en idé om, hvilken type konfigurationsprofiler du kan oprette, skal du se Anvend funktioner og indstillinger på dine enheder ved hjælp af enhedsprofiler i Microsoft Intune.

Installer Windows security baselines for Intune

Hvis du vil justere dine enhedskonfigurationer i forhold til Microsofts grundlinjer for sikkerhed, anbefaler vi som udgangspunkt de grundlæggende sikkerhedslinjer inden for Microsoft Intune. Fordelen ved denne fremgangsmåde er, at du kan stole på, at Microsoft holder grundlinjerne opdateret, efterhånden som Windows 10 og 11 funktioner udgives.

Hvis du vil installere Windows Security Baselines til Intune, skal du være tilgængelig for Windows 10 og Windows 11. Se Brug sikkerhedsbaser til at konfigurere Windows-enheder i Intune for at få mere at vide om de tilgængelige grundlinjer.

I øjeblikket skal du blot installere den mest relevante MDM-sikkerhedsbaselinje. Se Administrer profiler for grundlæggende sikkerhedsgrundlinjer i Microsoft Intune for at oprette profilen og vælge den oprindelige version.

Når Microsoft Defender for Endpoint er konfigureret senere, og du har oprettet forbindelse Intune, skal du installere Defender for Endpoint baselines. Dette emne behandles i den næste artikel i denne serie: Trin 6. Overvåg enhedsrisici og overholdelse af angivne standarder i forhold til grundlæggende sikkerhedslinjer.

Det er vigtigt at forstå, at disse grundlæggende sikkerhedsdata ikke er CIS- eller NIST-kompatible, men nøje afspejler deres anbefalinger. Du kan få flere oplysninger under Er cis- eller NIST-Intune-sikkerhedsbaser kompatible?

Tilpas konfigurationsprofiler for din organisation

Ud over at udrulle de forudkonfigurerede grundlinjer implementerer mange virksomheder konfigurationsprofiler for at få mere detaljeret kontrol. Denne konfiguration hjælper med at reducere afhængigheden af Gruppepolitik objekter i Active Directory i det lokale miljø miljø og flytte sikkerhedskontroller til cloudmiljøet.

De mange indstillinger, du kan konfigurere ved hjælp af konfigurationsprofiler, kan grupperes i fire kategorier, som vist nedenfor.

Intune kategorier for enhedsprofil, herunder enhedsfunktioner, enhedsbegrænsninger, adgangskonfiguration og brugerdefinerede indstillinger.

I følgende tabel beskrives illustrationen.

Kategori Beskrivelse Eksempler
Enhedsfunktioner Styrer funktioner på enheden. Denne kategori gælder kun for iOS-/iPadOS- og macOS-enheder. Lufttryk, meddelelser, låseskærmsmeddelelser
Enhedsbegrænsninger Styrer sikkerhed, hardware, datadeling og flere indstillinger på enhederne Kræv en pinkode, datakryptering
Adgangskonfiguration Konfigurerer en enhed til at få adgang til organisationens ressourcer Mailprofiler, VPN-profiler, Wi-Fi indstillinger, certifikater
Brugerdefinerede Angiv brugerdefineret konfiguration, eller udfør brugerdefinerede konfigurationshandlinger Angiv OEM-indstillinger, udfør PowerShell-scripts

Når du tilpasser konfigurationsprofiler for din organisation, skal du bruge følgende vejledning:

  • Gør din strategi for styring af sikkerhed mere enkel ved at begrænse det samlede antal politikker.
  • Gruppér indstillinger i de kategorier, der er angivet ovenfor, eller kategorier, der giver mening for din organisation.
  • Når du flytter sikkerhedskontrolelementer fra Gruppepolitik Objekter til Intune konfigurationsprofiler, skal du overveje, om de indstillinger, der er konfigureret af hvert gruppepolitikobjekt, stadig er relevante og nødvendige for at bidrage til din overordnede cloudsikkerhedsstrategi. Betinget adgang og de mange politikker, der kan konfigureres på tværs af cloudtjenester, herunder Intune, giver mere avanceret beskyttelse, end det kunne konfigureres i et lokalt miljø, hvor brugerdefinerede gruppepolitikobjekter oprindeligt blev designet.
  • Anvend Gruppepolitik Analytics til at sammenligne og knytte dine aktuelle GPO-indstillinger til funktioner i Microsoft Intune. Se Analysér dine gruppepolitikobjekter i det lokale miljø ved hjælp af Gruppepolitik analyser i Microsoft Intune.
  • Når du bruger brugerdefinerede konfigurationsprofiler, skal du bruge vejledningen her: Opret en profil med brugerdefinerede indstillinger i Intune.

Yderligere ressourcer

Hvis du ikke er sikker på, hvor du skal starte med enhedsprofiler, kan følgende hjælpe:

Hvis dit miljø indeholder gruppepolitikobjekter i det lokale miljø, er følgende funktioner en god overgang til cloudmiljøet:

Næste trin

Gå til trin 6. Overvåg enhedsrisici og overholdelse af angivne standarder i forhold til grundlæggende sikkerhedslinjer.