A Microsoft Intune védelmi és konfigurációs szintjei
Microsoft Intune lehetővé teszi a rendszergazdák számára, hogy felhasználókra, eszközökre és alkalmazásokra alkalmazott szabályzatokat hozzanak létre. Ezek a szabályzatok a minimális beállítástól a biztonságosabb vagy szabályozottabb szabályzatokig terjedhetnek. Ezek a szabályzatok a szervezet igényeitől, a használt eszközöktől és az eszközöktől függenek.
Ha készen áll a szabályzatok létrehozására, a különböző védelmi és konfigurációs szinteket használhatja:
- 1. szint – Minimális védelem és konfigurálás
- 2. szint – Fokozott védelem és konfigurálás
- 3. szint – Magas szintű védelem és konfigurálás
A környezet és az üzleti igények különböző szinteket határozhatnak meg. Ezeket a szinteket kiindulási pontként használhatja, majd igényeinek megfelelően testre szabhatja őket. Használhatja például az eszközkonfigurációs szabályzatokat az 1. szinten, az alkalmazásházirendeket pedig a 3. szinten.
Válassza ki a szervezete számára megfelelő szinteket. Nincs rossz választás.
1. szint – Minimális védelem és konfigurálás
Ez a szint tartalmazza azokat a szabályzatokat, amelyekkel minden szervezetnek rendelkeznie kell legalább. Az ezen a szinten található szabályzatok minimális alapkonfigurációt hoznak létre a biztonsági funkciókhoz, és hozzáférést biztosítanak a felhasználóknak a munkájuk elvégzéséhez szükséges erőforrásokhoz.
Alkalmazások (1. szint)
Ez a szint ésszerű mértékű adatvédelmi és hozzáférési követelményeket támaszt, ugyanakkor minimalizálja a felhasználókra gyakorolt hatást. Ez a szint biztosítja, hogy az alkalmazások PIN-kóddal és titkosítással legyenek védve, és szelektív törlési műveleteket hajtanak végre. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközök hitelesítését. Ez a szint egy bejegyzésszintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít Exchange Online postaláda-házirendekben. Emellett bevezeti az informatikai és a felhasználói lakosságot az alkalmazásvédelmi szabályzatokba.
Ebben a szinten a Microsoft azt javasolja, hogy konfigurálja a következő védelmet és hozzáférést az alkalmazásokhoz:
Alapvető adatvédelmi követelmények engedélyezése:
- Alkalmazás alapszintű adatátvitelének engedélyezése
- Alapszintű alkalmazástitkosítás kényszerítése
- Alapvető hozzáférési funkciók engedélyezése
Alapvető hozzáférési követelmények engedélyezése:
- PIN-kód, arcazonosító és biometrikus hozzáférés megkövetelése
- Alapvető hozzáférési beállítások támogatásának kényszerítése
Alapszintű feltételes alkalmazásindítás engedélyezése:
- Alkalmazás alapszintű hozzáférési kísérleteinek konfigurálása
- Alkalmazáshozzáférés letiltása feltört/feltört eszközök alapján
- Alkalmazáshozzáférés korlátozása az eszközök alapvető integritása alapján
További információ: 1. szintű alapszintű alkalmazásvédelem.
Megfelelőség (1. szint)
Ezen a szinten az eszközmegfelelőség magában foglalja az összes eszközre vonatkozó bérlői beállítások konfigurálását, valamint a minimális megfelelőségi szabályzatok telepítését az összes eszközre a megfelelőségi követelmények alapvető készletének kikényszerítéséhez. A Microsoft azt javasolja, hogy ezek a konfigurációk legyenek érvényben, mielőtt engedélyezi az eszközök számára a szervezet erőforrásainak elérését. Az 1. szintű eszközmegfelelés a következőket tartalmazza:
A megfelelőségi szabályzat beállításai néhány bérlői szintű beállítás, amelyek befolyásolják az Intune megfelelőségi szolgáltatás és az eszközök közötti működést.
A platformspecifikus megfelelőségi szabályzatok platformfüggetlen témákra vonatkozó beállításokat tartalmaznak. A beállítás tényleges neve és implementációja eltérő lehet a különböző platformok között:
- Víruskereső, kéményirtó és kártevőirtó megkövetelése (csak Windows esetén)
- Operációs rendszer verziója:
- Operációs rendszer maximális száma
- Operációs rendszer minimális száma
- Alverziók és főverziók
- Operációsrendszer-javítási szintek
- Jelszókonfigurációk
- Zárolási képernyő kényszerítése inaktivitás után, jelszó vagy pin-kód megkövetelése a zárolás feloldásához
- Összetett jelszavak megkövetelése betűk, számok és szimbólumok kombinációjával
- Jelszó vagy PIN-kód megkövetelése az eszközök zárolásának feloldásához
- Jelszó minimális hosszának megkövetelése
A meg nem felelési műveleteket a rendszer automatikusan belefoglalja az egyes platformspecifikus szabályzatok közé. Ezek a műveletek egy vagy több konfigurált, időrendbe rendezett művelet, amely olyan eszközökre vonatkozik, amelyek nem felelnek meg a szabályzat megfelelőségi követelményeinek. Alapértelmezés szerint az eszközök nem megfelelőként való megjelölése az egyes szabályzatok által tartalmazott azonnali művelet.
További információ: 1. szint – Minimális eszközmegfelelés.
Eszközkonfiguráció (1. szint)
Ezen a szinten a profilok olyan beállításokat tartalmaznak, amelyek a biztonságra és az erőforrás-hozzáférésre összpontosítanak. Ebben a szinten a Microsoft a következő funkciók konfigurálását javasolja:
Alapvető biztonság engedélyezése, beleértve a következőket:
- Víruskereső és vizsgálat
- Fenyegetésészlelés és -reagálás
- Tűzfal
- Szoftverfrissítések
- Erős PIN-kód- és jelszószabályzat
Hozzáférés biztosítása a felhasználóknak a hálózathoz:
- VPN táveléréshez
- Wi-Fi helyszíni hozzáféréshez
Az ilyen szintű szabályzatokról további információt a 4. lépés – Eszközkonfigurációs profilok létrehozása az eszközök védelméhez és a szervezeti erőforrásokhoz való kapcsolatok létrehozásához című témakörben talál.
2. szint – Fokozott védelem és konfigurálás
Ez a szint a házirendek minimális készletére is kiterjed, így nagyobb biztonságot és a mobileszköz-kezelést is kiterjeszti. Az ezen a szinten található szabályzatok több funkciót biztosítanak, identitásvédelmet biztosítanak, és további eszközbeállításokat kezelnek.
Az ezen a szinten található beállításokkal adhatja meg, hogy mit tett az 1. szinten.
Alkalmazások (2. szint)
Ez a szint az alkalmazásvédelem szabványos szintjét javasolja az olyan eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ez a szint alkalmazásvédelmi szabályzatok adatszivárgás-megelőzési mechanizmusait és minimális operációsrendszer-követelményeket vezet be. Ez a szint az a konfiguráció, amely a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére érvényes.
Az 1. szintű beállítások mellett a Microsoft a következő védelmet és hozzáférést javasolja az alkalmazásokhoz:
Fokozott adatvédelmi követelmények engedélyezése:
- Szervezettel kapcsolatos adatok átvitele
- A kijelölt alkalmazások adatátviteli követelményei (iOS/iPadOS) kivételei
- Távközlési adatok átvitele
- Kivágás, másolás és beillesztés korlátozása alkalmazások között
- Képernyőfelvétel letiltása (Android)
Továbbfejlesztett feltételes alkalmazásindítás engedélyezése:
- Alkalmazásfiókok letiltása
- Eszköz operációs rendszerének minimális követelményeinek kényszerítése
- Minimális javításverzió megkövetelése (Android)
- Play integrity verdict evaluation type (Android) megkövetelése
- Eszközzárolás megkövetelése (Android)
- Alkalmazáshozzáférés engedélyezése az eszköz nagyobb integritása alapján
További információ: 2. szintű továbbfejlesztett alkalmazásvédelem.
Megfelelőség (2. szint)
Ezen a szinten a Microsoft azt javasolja, hogy összetettebb beállításokat adjon hozzá a megfelelőségi szabályzatokhoz. Ezen a szinten számos beállítás platformspecifikus névvel rendelkezik, amelyek hasonló eredményeket adnak. Az alábbiakban azokat a kategóriákat vagy beállítástípusokat soroljuk fel, amelyeket a Microsoft ajánlott használni, amikor elérhetők:
Alkalmazások:
- Kezelheti, hogy az eszközök hol kapnak alkalmazásokat, például a Google Play for Androidot
- Alkalmazások engedélyezése adott helyekről
- Ismeretlen forrásokból származó alkalmazások letiltása
Tűzfalbeállítások
- Tűzfalbeállítások (macOS, Windows)
Titkosítás:
- Adattárolás titkosításának megkövetelése
- BitLocker (Windows)
- FileVault (macOS)
Jelszavak
- Jelszó lejárata és újbóli felhasználása
Rendszerszintű fájl- és rendszerindítás-védelem:
- USB-hibakeresés letiltása (Android)
- Feltört vagy feltört eszközök letiltása (Android, iOS)
- Rendszerintegritási védelem megkövetelése (macOS)
- Kódintegritás megkövetelése (Windows)
- Biztonságos rendszerindítás engedélyezésének megkövetelése (Windows)
- Platformmegbízhatósági modul (Windows)
További információ: 2. szint – Továbbfejlesztett eszközmegfelelési beállítások.
Eszközkonfiguráció (2. szint)
Ebben a szinten az 1. szinten konfigurált beállításokat és szolgáltatásokat bővíti. A Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:
- Adjon hozzá egy újabb biztonsági réteget a lemeztitkosítás, a biztonságos rendszerindítás és a TPM engedélyezésével az eszközökön.
- Konfigurálja a PIN-eket & jelszavakat úgy, hogy lejárjanak, és kezelhessék, ha/amikor a jelszavak újra felhasználhatók.
- Részletesebb eszközfunkciókat, -beállításokat és -viselkedéseket konfigurál.
- Ha helyszíni csoportházirend-objektumokkal rendelkezik, megállapíthatja, hogy ezek a csoportházirend-objektumok elérhetők-e az Intune-ban.
Az ezen a szinten található eszközkonfigurációs szabályzatokról további információt a 2. szint – Fokozott védelem és konfigurálás című témakörben talál.
3. szint – Magas szintű védelem és konfigurálás
Ez a szint nagyvállalati szintű szabályzatokat is magában foglal, és a szervezet különböző rendszergazdáit is érintheti. Ezek a szabályzatok tovább lépnek a jelszó nélküli hitelesítésre, nagyobb biztonsággal rendelkeznek, és speciális eszközöket konfigurálnak.
Az ezen a szinten található beállításokkal adhatja meg az 1. és a 2. szinten elvégzett műveletet.
Alkalmazások (3. szint)
Ez a szint az alkalmazásvédelem szabványos szintjét javasolja az olyan eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ez a szint fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-konfigurációt és mobil veszélyforrások elleni alkalmazásvédelmi szabályzatot vezet be. Ez a konfiguráció olyan felhasználóknak kellhet, akik magas kockázatú adatokhoz férnek hozzá.
Az 1. és 2. szintű beállítások mellett a Microsoft a következő védelmet és hozzáférést javasolja az alkalmazásokhoz:
Magas adatvédelmi követelmények engedélyezése:
- Magas szintű védelem a telekommunikációs adatok átvitele során
- Adatok fogadása csak szabályzattal felügyelt alkalmazásokból
- Adatok szervezeti dokumentumokba való megnyitásának letiltása
- A felhasználók megnyithatják a kijelölt szolgáltatásokból származó adatokat
- Külső billentyűzetek letiltása
- Jóváhagyott billentyűzetek megkövetelése/kiválasztása (Android)
- Szervezeti adatok nyomtatásának letiltása
Magas hozzáférési követelmények engedélyezése:
- Egyszerű PIN-kód letiltása, és a PIN-kód minimális hosszának megkövetelése
- PIN-kód alaphelyzetbe állításának megkövetelése ennyi nap után
- A 3. osztályú biometrikus adatok megkövetelése (Android 9.0+)
- Biometriai adatok felülbírálása PIN-kóddal a biometrikus frissítések után (Android)
Magas feltételes alkalmazásindítás engedélyezése:
- Eszközzárolás megkövetelése (Android)
- Maximálisan engedélyezett fenyegetésszint megkövetelése
- Az operációs rendszer maximális verziójának megkövetelése
További információ: 3. szintű magas szintű alkalmazásvédelem.
Megfelelőség (3. szint)
Ezen a szinten a következő képességekkel bővítheti az Intune beépített megfelelőségi képességeit:
Mobile Threat Defense- (MTD-) partner adatainak integrálása
- Az MTD-partnerekkel a megfelelőségi szabályzatok megkövetelhetik, hogy az eszközök az adott partner által meghatározott eszközfenyegetettségi szintenvagy alatt legyenek, vagy azok alatt legyenek.
Külső megfelelőségi partner használata az Intune-nal
Szkriptek használatával egyéni megfelelőségi beállításokat adhat a szabályzatokhoz az Intune felhasználói felületén nem elérhető beállításokhoz. (Windows, Linux)
A megfelelőségi szabályzat adatainak használata feltételes hozzáférési szabályzatokkal a szervezet erőforrásaihoz való hozzáférés kapuzásához
További információ: 3. szint – Speciális eszközmegfelelési konfigurációk.
Eszközkonfiguráció (3. szint)
Ez a szint a nagyvállalati szintű szolgáltatásokra és funkciókra összpontosít, és infrastruktúra-befektetést igényelhet. Ezen a szinten olyan szabályzatokat hozhat létre, amelyek:
Bontsa ki a jelszó nélküli hitelesítést a szervezet más szolgáltatásaira, beleértve a tanúsítványalapú hitelesítést, az egyszeri bejelentkezést az alkalmazásokhoz, a többtényezős hitelesítést (MFA) és a Microsoft Tunnel VPN Gatewayt.
Bontsa ki a Microsoft Tunnelt a Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) üzembe helyezésével, amely kiterjeszti az alagút támogatását az Intune-ban nem regisztrált iOS- és Android-eszközökre. A TUNNEL for MAM intune-bővítményként érhető el.
További információ: Az Intune Suite bővítmény képességeinek használata.
Konfigurálja a Windows belső vezérlőprogram rétegére vonatkozó eszközszolgáltatásokat. Használja az Android általános feltételmódot.
A Windows helyi rendszergazdai jelszómegoldáshoz (LAPS) készült Intune-házirenddel biztonságossá teheti a beépített helyi rendszergazdai fiókot a felügyelt Windows-eszközökön.
További információ: Intune-támogatás a Windows LAPS-hez.
A Windows-eszközök védelme az Endpoint Privilege Management (EPM) használatával, amely segít a szervezet felhasználóinak normál felhasználóként (rendszergazdai jogosultságok nélkül) futni, miközben lehetővé teszi, hogy ugyanazok a felhasználók emelt szintű jogosultságokat igénylő feladatokat végezzenek el.
Az EPM intune-bővítményként érhető el. További információ: Az Intune Suite bővítmény képességeinek használata.
Speciális eszközök, például kioszkok és megosztott eszközök konfigurálása.
Szükség esetén helyezzen üzembe szkripteket.
Az ezen a szinten található eszközkonfigurációs szabályzatokról további információt a 3. szint – Magas szintű védelem és konfigurálás című témakörben talál.
Következő lépések
A létrehozható eszközkonfigurációs profilok teljes listáját a Szolgáltatások és beállítások alkalmazása az eszközökön eszközprofilok használatával a Microsoft Intune című témakörben találja.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: