Megosztás a következőn keresztül:

A Microsoft Intune védelmi és konfigurációs szintjei

  • Cikk

Microsoft Intune lehetővé teszi a rendszergazdák számára, hogy felhasználókra, eszközökre és alkalmazásokra alkalmazott szabályzatokat hozzanak létre. Ezek a szabályzatok a minimális beállítástól a biztonságosabb vagy szabályozottabb szabályzatokig terjedhetnek. Ezek a szabályzatok a szervezet igényeitől, a használt eszközöktől és az eszközöktől függenek.

Ha készen áll a szabályzatok létrehozására, a különböző védelmi és konfigurációs szinteket használhatja:

A környezet és az üzleti igények különböző szinteket határozhatnak meg. Ezeket a szinteket kiindulási pontként használhatja, majd igényeinek megfelelően testre szabhatja őket. Használhatja például az eszközkonfigurációs szabályzatokat az 1. szinten, az alkalmazásházirendeket pedig a 3. szinten.

Válassza ki a szervezete számára megfelelő szinteket. Nincs rossz választás.

1. szint – Minimális védelem és konfigurálás

Ez a szint tartalmazza azokat a szabályzatokat, amelyekkel minden szervezetnek rendelkeznie kell legalább. Az ezen a szinten található szabályzatok minimális alapkonfigurációt hoznak létre a biztonsági funkciókhoz, és hozzáférést biztosítanak a felhasználóknak a munkájuk elvégzéséhez szükséges erőforrásokhoz.

Alkalmazások (1. szint)

Ez a szint ésszerű mértékű adatvédelmi és hozzáférési követelményeket támaszt, ugyanakkor minimalizálja a felhasználókra gyakorolt hatást. Ez a szint biztosítja, hogy az alkalmazások PIN-kóddal és titkosítással legyenek védve, és szelektív törlési műveleteket hajtanak végre. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközök hitelesítését. Ez a szint egy bejegyzésszintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít Exchange Online postaláda-házirendekben. Emellett bevezeti az informatikai és a felhasználói lakosságot az alkalmazásvédelmi szabályzatokba.

Ebben a szinten a Microsoft azt javasolja, hogy konfigurálja a következő védelmet és hozzáférést az alkalmazásokhoz:

  • Alapvető adatvédelmi követelmények engedélyezése:

    • Alkalmazás alapszintű adatátvitelének engedélyezése
    • Alapszintű alkalmazástitkosítás kényszerítése
    • Alapvető hozzáférési funkciók engedélyezése

  • Alapvető hozzáférési követelmények engedélyezése:

    • PIN-kód, arcazonosító és biometrikus hozzáférés megkövetelése
    • Alapvető hozzáférési beállítások támogatásának kényszerítése

  • Alapszintű feltételes alkalmazásindítás engedélyezése:

    • Alkalmazás alapszintű hozzáférési kísérleteinek konfigurálása
    • Alkalmazáshozzáférés letiltása feltört/feltört eszközök alapján
    • Alkalmazáshozzáférés korlátozása az eszközök alapvető integritása alapján

További információ: 1. szintű alapszintű alkalmazásvédelem.

Megfelelőség (1. szint)

Ezen a szinten az eszközmegfelelőség magában foglalja az összes eszközre vonatkozó bérlői beállítások konfigurálását, valamint a minimális megfelelőségi szabályzatok telepítését az összes eszközre a megfelelőségi követelmények alapvető készletének kikényszerítéséhez. A Microsoft azt javasolja, hogy ezek a konfigurációk legyenek érvényben, mielőtt engedélyezi az eszközök számára a szervezet erőforrásainak elérését. Az 1. szintű eszközmegfelelés a következőket tartalmazza:

A megfelelőségi szabályzat beállításai néhány bérlői szintű beállítás, amelyek befolyásolják az Intune megfelelőségi szolgáltatás és az eszközök közötti működést.

A platformspecifikus megfelelőségi szabályzatok platformfüggetlen témákra vonatkozó beállításokat tartalmaznak. A beállítás tényleges neve és implementációja eltérő lehet a különböző platformok között:

  • Víruskereső, kéményirtó és kártevőirtó megkövetelése (csak Windows esetén)
  • Operációs rendszer verziója:
    • Operációs rendszer maximális száma
    • Operációs rendszer minimális száma
    • Alverziók és főverziók
    • Operációsrendszer-javítási szintek
  • Jelszókonfigurációk
    • Zárolási képernyő kényszerítése inaktivitás után, jelszó vagy pin-kód megkövetelése a zárolás feloldásához
    • Összetett jelszavak megkövetelése betűk, számok és szimbólumok kombinációjával
    • Jelszó vagy PIN-kód megkövetelése az eszközök zárolásának feloldásához
    • Jelszó minimális hosszának megkövetelése

A meg nem felelési műveleteket a rendszer automatikusan belefoglalja az egyes platformspecifikus szabályzatok közé. Ezek a műveletek egy vagy több konfigurált, időrendbe rendezett művelet, amely olyan eszközökre vonatkozik, amelyek nem felelnek meg a szabályzat megfelelőségi követelményeinek. Alapértelmezés szerint az eszközök nem megfelelőként való megjelölése az egyes szabályzatok által tartalmazott azonnali művelet.

További információ: 1. szint – Minimális eszközmegfelelés.

Eszközkonfiguráció (1. szint)

Ezen a szinten a profilok olyan beállításokat tartalmaznak, amelyek a biztonságra és az erőforrás-hozzáférésre összpontosítanak. Ebben a szinten a Microsoft a következő funkciók konfigurálását javasolja:

  • Alapvető biztonság engedélyezése, beleértve a következőket:

    • Víruskereső és vizsgálat
    • Fenyegetésészlelés és -reagálás
    • Tűzfal
    • Szoftverfrissítések
    • Erős PIN-kód- és jelszószabályzat

  • Hozzáférés biztosítása a felhasználóknak a hálózathoz:

    • E-mail
    • VPN táveléréshez
    • Wi-Fi helyszíni hozzáféréshez

Az ilyen szintű szabályzatokról további információt a 4. lépés – Eszközkonfigurációs profilok létrehozása az eszközök védelméhez és a szervezeti erőforrásokhoz való kapcsolatok létrehozásához című témakörben talál.

2. szint – Fokozott védelem és konfigurálás

Ez a szint a házirendek minimális készletére is kiterjed, így nagyobb biztonságot és a mobileszköz-kezelést is kiterjeszti. Az ezen a szinten található szabályzatok több funkciót biztosítanak, identitásvédelmet biztosítanak, és további eszközbeállításokat kezelnek.

Az ezen a szinten található beállításokkal adhatja meg, hogy mit tett az 1. szinten.

Alkalmazások (2. szint)

Ez a szint az alkalmazásvédelem szabványos szintjét javasolja az olyan eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ez a szint alkalmazásvédelmi szabályzatok adatszivárgás-megelőzési mechanizmusait és minimális operációsrendszer-követelményeket vezet be. Ez a szint az a konfiguráció, amely a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére érvényes.

Az 1. szintű beállítások mellett a Microsoft a következő védelmet és hozzáférést javasolja az alkalmazásokhoz:

  • Fokozott adatvédelmi követelmények engedélyezése:

    • Szervezettel kapcsolatos adatok átvitele
    • A kijelölt alkalmazások adatátviteli követelményei (iOS/iPadOS) kivételei
    • Távközlési adatok átvitele
    • Kivágás, másolás és beillesztés korlátozása alkalmazások között
    • Képernyőfelvétel letiltása (Android)

  • Továbbfejlesztett feltételes alkalmazásindítás engedélyezése:

    • Alkalmazásfiókok letiltása
    • Eszköz operációs rendszerének minimális követelményeinek kényszerítése
    • Minimális javításverzió megkövetelése (Android)
    • Play integrity verdict evaluation type (Android) megkövetelése
    • Eszközzárolás megkövetelése (Android)
    • Alkalmazáshozzáférés engedélyezése az eszköz nagyobb integritása alapján

További információ: 2. szintű továbbfejlesztett alkalmazásvédelem.

Megfelelőség (2. szint)

Ezen a szinten a Microsoft azt javasolja, hogy összetettebb beállításokat adjon hozzá a megfelelőségi szabályzatokhoz. Ezen a szinten számos beállítás platformspecifikus névvel rendelkezik, amelyek hasonló eredményeket adnak. Az alábbiakban azokat a kategóriákat vagy beállítástípusokat soroljuk fel, amelyeket a Microsoft ajánlott használni, amikor elérhetők:

  • Alkalmazások:

    • Kezelheti, hogy az eszközök hol kapnak alkalmazásokat, például a Google Play for Androidot
    • Alkalmazások engedélyezése adott helyekről
    • Ismeretlen forrásokból származó alkalmazások letiltása

  • Tűzfalbeállítások

    • Tűzfalbeállítások (macOS, Windows)

  • Titkosítás:

    • Adattárolás titkosításának megkövetelése
    • BitLocker (Windows)
    • FileVault (macOS)

  • Jelszavak

    • Jelszó lejárata és újbóli felhasználása

  • Rendszerszintű fájl- és rendszerindítás-védelem:

    • USB-hibakeresés letiltása (Android)
    • Feltört vagy feltört eszközök letiltása (Android, iOS)
    • Rendszerintegritási védelem megkövetelése (macOS)
    • Kódintegritás megkövetelése (Windows)
    • Biztonságos rendszerindítás engedélyezésének megkövetelése (Windows)
    • Platformmegbízhatósági modul (Windows)

További információ: 2. szint – Továbbfejlesztett eszközmegfelelési beállítások.

Eszközkonfiguráció (2. szint)

Ebben a szinten az 1. szinten konfigurált beállításokat és szolgáltatásokat bővíti. A Microsoft azt javasolja, hogy olyan szabályzatokat hozzon létre, amelyek:

  • Adjon hozzá egy újabb biztonsági réteget a lemeztitkosítás, a biztonságos rendszerindítás és a TPM engedélyezésével az eszközökön.
  • Konfigurálja a PIN-eket & jelszavakat úgy, hogy lejárjanak, és kezelhessék, ha/amikor a jelszavak újra felhasználhatók.
  • Részletesebb eszközfunkciókat, -beállításokat és -viselkedéseket konfigurál.
  • Ha helyszíni csoportházirend-objektumokkal rendelkezik, megállapíthatja, hogy ezek a csoportházirend-objektumok elérhetők-e az Intune-ban.

Az ezen a szinten található eszközkonfigurációs szabályzatokról további információt a 2. szint – Fokozott védelem és konfigurálás című témakörben talál.

3. szint – Magas szintű védelem és konfigurálás

Ez a szint nagyvállalati szintű szabályzatokat is magában foglal, és a szervezet különböző rendszergazdáit is érintheti. Ezek a szabályzatok tovább lépnek a jelszó nélküli hitelesítésre, nagyobb biztonsággal rendelkeznek, és speciális eszközöket konfigurálnak.

Az ezen a szinten található beállításokkal adhatja meg az 1. és a 2. szinten elvégzett műveletet.

Alkalmazások (3. szint)

Ez a szint az alkalmazásvédelem szabványos szintjét javasolja az olyan eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ez a szint fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-konfigurációt és mobil veszélyforrások elleni alkalmazásvédelmi szabályzatot vezet be. Ez a konfiguráció olyan felhasználóknak kellhet, akik magas kockázatú adatokhoz férnek hozzá.

Az 1. és 2. szintű beállítások mellett a Microsoft a következő védelmet és hozzáférést javasolja az alkalmazásokhoz:

  • Magas adatvédelmi követelmények engedélyezése:

    • Magas szintű védelem a telekommunikációs adatok átvitele során
    • Adatok fogadása csak szabályzattal felügyelt alkalmazásokból
    • Adatok szervezeti dokumentumokba való megnyitásának letiltása
    • A felhasználók megnyithatják a kijelölt szolgáltatásokból származó adatokat
    • Külső billentyűzetek letiltása
    • Jóváhagyott billentyűzetek megkövetelése/kiválasztása (Android)
    • Szervezeti adatok nyomtatásának letiltása

  • Magas hozzáférési követelmények engedélyezése:

    • Egyszerű PIN-kód letiltása, és a PIN-kód minimális hosszának megkövetelése
    • PIN-kód alaphelyzetbe állításának megkövetelése ennyi nap után
    • A 3. osztályú biometrikus adatok megkövetelése (Android 9.0+)
    • Biometriai adatok felülbírálása PIN-kóddal a biometrikus frissítések után (Android)

  • Magas feltételes alkalmazásindítás engedélyezése:

    • Eszközzárolás megkövetelése (Android)
    • Maximálisan engedélyezett fenyegetésszint megkövetelése
    • Az operációs rendszer maximális verziójának megkövetelése

További információ: 3. szintű magas szintű alkalmazásvédelem.

Megfelelőség (3. szint)

Ezen a szinten a következő képességekkel bővítheti az Intune beépített megfelelőségi képességeit:

  • Mobile Threat Defense- (MTD-) partner adatainak integrálása

    • Az MTD-partnerekkel a megfelelőségi szabályzatok megkövetelhetik, hogy az eszközök az adott partner által meghatározott eszközfenyegetettségi szintenvagy alatt legyenek, vagy azok alatt legyenek.

  • Külső megfelelőségi partner használata az Intune-nal

  • Szkriptek használatával egyéni megfelelőségi beállításokat adhat a szabályzatokhoz az Intune felhasználói felületén nem elérhető beállításokhoz. (Windows, Linux)

  • A megfelelőségi szabályzat adatainak használata feltételes hozzáférési szabályzatokkal a szervezet erőforrásaihoz való hozzáférés kapuzásához

További információ: 3. szint – Speciális eszközmegfelelési konfigurációk.

Eszközkonfiguráció (3. szint)

Ez a szint a nagyvállalati szintű szolgáltatásokra és funkciókra összpontosít, és infrastruktúra-befektetést igényelhet. Ezen a szinten olyan szabályzatokat hozhat létre, amelyek:

  • Bontsa ki a jelszó nélküli hitelesítést a szervezet más szolgáltatásaira, beleértve a tanúsítványalapú hitelesítést, az egyszeri bejelentkezést az alkalmazásokhoz, a többtényezős hitelesítést (MFA) és a Microsoft Tunnel VPN Gatewayt.

  • Bontsa ki a Microsoft Tunnelt a Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) üzembe helyezésével, amely kiterjeszti az alagút támogatását az Intune-ban nem regisztrált iOS- és Android-eszközökre. A TUNNEL for MAM intune-bővítményként érhető el.

    További információ: Az Intune Suite bővítmény képességeinek használata.

  • Konfigurálja a Windows belső vezérlőprogram rétegére vonatkozó eszközszolgáltatásokat. Használja az Android általános feltételmódot.

  • A Windows helyi rendszergazdai jelszómegoldáshoz (LAPS) készült Intune-házirenddel biztonságossá teheti a beépített helyi rendszergazdai fiókot a felügyelt Windows-eszközökön.

    További információ: Intune-támogatás a Windows LAPS-hez.

  • A Windows-eszközök védelme az Endpoint Privilege Management (EPM) használatával, amely segít a szervezet felhasználóinak normál felhasználóként (rendszergazdai jogosultságok nélkül) futni, miközben lehetővé teszi, hogy ugyanazok a felhasználók emelt szintű jogosultságokat igénylő feladatokat végezzenek el.

    Az EPM intune-bővítményként érhető el. További információ: Az Intune Suite bővítmény képességeinek használata.

  • Speciális eszközök, például kioszkok és megosztott eszközök konfigurálása.

  • Szükség esetén helyezzen üzembe szkripteket.

Az ezen a szinten található eszközkonfigurációs szabályzatokról további információt a 3. szint – Magas szintű védelem és konfigurálás című témakörben talál.

Következő lépések

A létrehozható eszközkonfigurációs profilok teljes listáját a Szolgáltatások és beállítások alkalmazása az eszközökön eszközprofilok használatával a Microsoft Intune című témakörben találja.