Adatok és eszközök védelme Microsoft Intune
Microsoft Intune segíthet a felügyelt eszközök biztonságának és naprakészen tartásában, miközben segít megvédeni a szervezet adatait a feltört eszközökkel szemben. Az adatvédelem magában foglalja annak szabályozását, hogy a felhasználók milyen műveleteket végeznek a szervezet adataival a felügyelt és a nem felügyelt eszközökön. Az adatvédelem kiterjed az esetlegesen sérült eszközökről származó adatokhoz való hozzáférés blokkolására is.
Ez a cikk az Intune számos beépített funkcióját és partnertechnológiáját emeli ki, amelyek integrálhatók az Intune-nal. Ha többet szeretne megtudni róluk, többen is összehozhatók a megbízható környezet felé vezető út átfogóbb megoldásai érdekében.
A Microsoft Intune Felügyeleti központban az Intune támogatja az Android, iOS/iPad, Linux, macOS és Windows 10 és Windows 11 rendszerű felügyelt eszközöket.
Ha Configuration Manager használ a helyszíni eszközök felügyeletére, az Intune-szabályzatokat kiterjesztheti ezekre az eszközökre a bérlői csatolás vagy a társfelügyelet konfigurálásával.
Az Intune olyan külső termékekkel kezelt eszközökről származó információkkal is képes dolgozni, amelyek eszközmegfelelést és mobil veszélyforrások elleni védelmet biztosítanak.
Eszközök védelme szabályzatokkal
Az Intune végpontbiztonsági, eszközkonfigurációs és eszközmegfelelési szabályzatainak üzembe helyezésével úgy konfigurálhatja az eszközöket, hogy megfeleljenek a szervezet biztonsági céljainak. A szabályzatok egy vagy több profilt támogatnak, amelyek a regisztrált eszközök csoportjaira telepített platformspecifikus szabályok különálló készletei.
A végpontbiztonsági szabályzatokkal olyan, a biztonságra összpontosító szabályzatokat helyezhet üzembe, amelyek célja, hogy az eszközök biztonságára összpontosítson, és mérsékelje a kockázatokat. Az elérhető feladatok segítségével azonosíthatja a veszélyeztetett eszközöket, szervizelheti ezeket az eszközöket, és visszaállíthatja őket megfelelő vagy biztonságosabb állapotba.
Az eszközkonfigurációs szabályzatokkal kezelheti azokat a profilokat, amelyek meghatározzák az eszközök által a szervezetben használt beállításokat és szolgáltatásokat. Eszközök konfigurálása végpontvédelemhez, tanúsítványok kiépítése hitelesítéshez, szoftverfrissítési viselkedés beállítása stb.
Az eszközmegfelelési szabályzatokkal különböző eszközplatformokhoz hozhat létre profilokat, amelyek eszközkövetelményeket állapítanak meg. A követelmények közé tartozhatnak az operációs rendszer verziói, a lemeztitkosítás használata, illetve a fenyegetéskezelési szoftver által meghatározott meghatározott fenyegetettségi szinteken vagy alatt.
Az Intune képes megvédeni azokat az eszközöket, amelyek nem felelnek meg a szabályzatoknak, és figyelmeztetni tudja az eszköz felhasználóját, hogy azok megfelelővé tehetik az eszközt.
Amikor feltételes hozzáférést ad a mixhez, olyan szabályzatokat konfiguráljon, amelyek csak a megfelelő eszközök számára engedélyezik a hálózati és szervezeti erőforrások elérését. A hozzáférési korlátozások közé tartozhatnak a fájlmegosztások és a vállalati e-mailek. A feltételes hozzáférési szabályzatok az Intune-nal integrálható külső eszközmegfelelési partnerek által jelentett eszközállapot-adatokkal is működnek.
Íme néhány biztonsági beállítás és feladat, amelyeket az elérhető szabályzatokkal kezelhet:
Eszköztitkosítás – A BitLocker kezelése Windows 10 eszközökön és a FileVault macOS rendszeren.
Hitelesítési módszerek – Konfigurálhatja, hogy az eszközök hogyan hitelesítsék magukat a szervezet erőforrásaihoz, e-mailjeihez és alkalmazásaihoz.
Használjon tanúsítványokat az alkalmazások, a szervezet erőforrásainak hitelesítéséhez, valamint az e-mailek S/MIME használatával történő aláírásához és titkosításához. Származtatott hitelesítő adatokat is beállíthat, ha a környezet intelligens kártyák használatát igényli.
Konfigurálja a kockázatokat korlátozó beállításokat, például:
- A többtényezős hitelesítés (MFA) megkövetelése egy további hitelesítési réteg hozzáadásához a felhasználók számára.
- Az erőforrásokhoz való hozzáférés előtt meg kell felelnie a PIN-kódra és a jelszóra vonatkozó követelményeknek.
- Engedélyezze Vállalati Windows Hello Windows 10 eszközökön.
Virtuális magánhálózatok (VPN-ek) – VPN-profilokkal rendeljen VPN-beállításokat az eszközökhöz, hogy könnyen csatlakozzanak a szervezet hálózatához. Az Intune számos VPN-kapcsolattípust és alkalmazást támogat, amelyek beépített képességeket tartalmaznak egyes platformokhoz, valamint az eszközökhöz készült belső és külső VPN-alkalmazásokat is.
Szoftverfrissítések – Kezelheti, hogy az eszközök hogyan és mikor kapják meg a szoftverfrissítéseket. A következők támogatottak:
- Android belső vezérlőprogram frissítései:
- Firmware Over-the-Air (FOTA) – Egyes oem-ek támogatják, a FOTA használatával távolról frissítheti az eszközök belső vezérlőprogramját.
- Zebra LifeGuard Over-the-Air (LG OTA) – A támogatott Zebra-eszközök belső vezérlőprogram-frissítéseinek kezelése az Intune felügyeleti központban.
- iOS – Az eszköz operációs rendszerének verzióinak kezelése, valamint amikor az eszközök frissítéseket keresnek és telepítenek.
- macOS – Felügyelt eszközként regisztrált macOS-eszközök szoftverfrissítéseinek kezelése.
- Windows 10 kezelheti az eszközök Windows Update felületét. Beállíthatja, hogy az eszközök mikor olvassanak be vagy telepítsenek frissítéseket, tartsa lenyomva a felügyelt eszközök egy csoportját bizonyos funkcióverziókban, és így tovább.
- Android belső vezérlőprogram frissítései:
Biztonsági alapkonfigurációk – Biztonsági alapkonfigurációk üzembe helyezése a Windows 10 eszközök alapvető biztonsági helyzetének kialakításához. A biztonsági alapkonfigurációk előre konfigurált Windows-beállítások csoportjai, amelyeket a megfelelő termékcsapatok javasolnak. Az alapkonfigurációkat a megadottak szerint használhatja, vagy szerkesztheti a példányokat, hogy megfeleljenek a célzott eszközcsoportok biztonsági céljainak.
Adatok védelme szabályzatokkal
Az Intune által felügyelt alkalmazások és az Intune alkalmazásvédelmi szabályzatai segíthetnek az adatszivárgások leállításában és a szervezet adatainak biztonságában. Ezek a védelem az Intune-ban regisztrált és nem regisztrált eszközökre is alkalmazhatók.
Az Intune által felügyelt alkalmazások (vagy röviden felügyelt alkalmazások) az Intune App SDK-val integrált vagy az Intune App Wrapping Tool burkolt alkalmazások. Ezek az alkalmazások az Intune alkalmazásvédelmi szabályzataival kezelhetők. A nyilvánosan elérhető felügyelt alkalmazások listájának megtekintéséhez lásd: Intune által védett alkalmazások.
A felhasználók felügyelt alkalmazásokkal dolgozhatnak a szervezet adataival és a saját személyes adataikkal is. Ha azonban az alkalmazásvédelmi szabályzatok egy felügyelt alkalmazás használatát igénylik, a felügyelt alkalmazás az egyetlen olyan alkalmazás, amely a szervezet adatainak eléréséhez használható. Alkalmazásvédelem szabályok nem vonatkoznak a felhasználó személyes adataira.
Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságosak vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályok azonosítják a használni kívánt felügyelt alkalmazást, és meghatározzák, hogy mit lehet tenni az adatokkal, amíg az alkalmazás használatban van.
Az alábbi példák alkalmazásvédelmi szabályzatokkal és felügyelt alkalmazásokkal beállítható védelmi és korlátozási lehetőségeket mutatnak be:
- Alkalmazásréteg-védelmet konfigurálhat, például PIN-kódot kell megkövetelnie egy alkalmazás munkahelyi környezetben való megnyitásához.
- Szabályozhatja a szervezeti adatok megosztását az eszközön lévő alkalmazások között, például letilthatja a másolást és beillesztést, vagy képernyőfelvételeket készíthet.
- A szervezet adatainak személyes tárolóhelyekre történő mentésének megakadályozása.
Eszközök és adatok védelme eszközműveletekkel
A Microsoft Intune Felügyeleti központban olyan eszközműveleteket futtathat, amelyek segítenek a kiválasztott eszközök védelmében. Ezeknek a műveleteknek egy részhalmazát tömeges eszközműveletként futtathatja, hogy egyszerre több eszközt is érintsen. Az Intune-ból származó számos távoli művelet együtt felügyelt eszközökkel is használható.
Az eszközműveletek nem szabályzatok, és meghívásukkor egyetlen alkalommal lépnek érvénybe. Azonnal alkalmazva lesznek, ha az eszköz elérhető az interneten, vagy ha az eszköz legközelebb elindul, vagy bejelentkezik az Intune-nal. Ezeket a műveleteket kiegészítőnek tekinti az eszközök sokasága számára biztonsági konfigurációkat konfiguráló és karbantartó szabályzatok használatát.
Az alábbiakban példákat talál az eszközök és adatok védelmét segítő futtatható műveletekre:
Az Intune által felügyelt eszközök:
- BitLocker billentyűrotálás (csak Windows esetén)
- Aktiválási zár letiltása (csak iOS esetén)
- Teljes vagy gyorsvizsgálat (csak Windows 10)
- Távoli zárolás
- Kivonás (amely eltávolítja a szervezet adatait az eszközről, miközben a személyes adatokat érintetlenül hagyja)
- Microsoft Defender biztonsági intelligencia frissítése
- Törlés (az eszköz gyári alaphelyzetbe állítása, az összes adat, alkalmazás és beállítás eltávolítása)
A Configuration Manager által felügyelt eszközök:
- Kivonás
- Törlés
- Szinkronizálás (kényszerítse az eszközt, hogy azonnal jelentkezzen be az Intune-nal új szabályzatok vagy függőben lévő műveletek kereséséhez)
Integráció más termékekkel és partnertechnológiákkal
Az Intune támogatja a belső és külső forrásokból származó partneralkalmazásokkal való integrációt, amelyek a beépített képességeire is kiterjednek. Az Intune-t több Microsoft-technológiával is integrálhatja.
Megfelelőségi partnerek
Ismerje meg, hogyan használhat eszközmegfelelési partnereket az Intune-nal. Ha egy eszközt az Intune-on kívül más mobileszköz-felügyeleti partnerrel kezel, a megfelelőségi adatokat integrálhatja Microsoft Entra ID. Integrálás esetén a feltételes hozzáférési szabályzatok az Intune-ból származó partneradatokat is használhatják.
Konfigurációkezelő
Számos Intune-szabályzat és eszközművelet használható a Configuration Manager által felügyelt eszközök védelmére. Az eszközök támogatásához konfigurálja a társfelügyeletet vagy a bérlői csatolást. Mindkettőt az Intune-nal együtt is használhatja.
A közös felügyelettel egyidejűleg Windows 10 eszközöket is felügyelhet a Configuration Manager és az Intune használatával. Telepítse az Configuration Manager-ügyfelet, és regisztrálja az eszközt az Intune-ban. Az eszköz mindkét szolgáltatással kommunikál.
A Bérlő csatolása beállítással szinkronizálást állíthat be a Configuration Manager webhely és az Intune-bérlő között. Ez a szinkronizálás egyetlen nézetet biztosít az összes olyan eszközhöz, amelyet a Microsoft Intune kezel.
Miután létrejött a kapcsolat az Intune és a Configuration Manager között, a Configuration Manager eszközei elérhetők az Microsoft Intune Felügyeleti központban. Ezután intune-szabályzatokat telepíthet ezekre az eszközökre, vagy eszközműveletekkel védheti őket.
Az alábbi védelmi megoldásokat alkalmazhatja:
- Tanúsítványokat helyezhet üzembe az eszközökön az Intune Simple Certificate Enrollment Protocol (SCEP) vagy a privát és nyilvános kulcspár (PKCS) tanúsítványprofiljaival.
- Használjon megfelelőségi szabályzatot.
- Használjon végpontbiztonsági szabályzatokat, például víruskeresőt, végpontészlelést és -választ, valamint tűzfalszabályokat .
- Biztonsági alapkonfigurációk alkalmazása.
- A Windows Frissítések kezelése.
Mobilfenyegetés-védelmi alkalmazások
A Mobile Threat Defense- (MTD-) alkalmazások aktívan ellenőrzik és elemzik az eszközöket a fenyegetések kereséséhez. Amikor integrálja (csatlakoztatja) a Mobile Threat Defense-alkalmazásokat az Intune-nal, az alkalmazások felmérik az eszközök fenyegetési szintjét. Az eszközfenyegetettségi vagy kockázati szint kiértékelése fontos eszköz a szervezet erőforrásainak a feltört mobileszközökkel szembeni védelméhez. Ezután ezt a fenyegetésszintet különböző szabályzatokban, például feltételes hozzáférési szabályzatokban használhatja az erőforrásokhoz való hozzáférés kapujának biztosításához.
Használjon fenyegetésszintű adatokat eszközmegfelelésre, alkalmazásvédelemre és feltételes hozzáférésre vonatkozó szabályzatokkal. Ezek a szabályzatok az adatokat arra használják, hogy megakadályozzák a nem megfelelő eszközök hozzáférését a szervezet erőforrásaihoz.
Integrált MTD-alkalmazással:
Regisztrált eszközök esetén:
- Az Intune használatával telepítheti és kezelheti az MTD-alkalmazást az eszközökön.
- Olyan eszközmegfelelőségi szabályzatokat telepíthet, amelyek a jelentett fenyegetési szintet használják a megfelelőség kiértékeléséhez.
- Feltételes hozzáférési szabályzatok definiálása, amelyek az eszközök fenyegetési szintjét veszik figyelembe.
- Alkalmazásvédelmi szabályzatok definiálása annak meghatározásához, hogy mikor kell letiltani vagy engedélyezni az adatokhoz való hozzáférést az eszköz fenyegetési szintje alapján.
Azok az eszközök, amelyek nem regisztrálnak az Intune-ban , de integrálható MTD-alkalmazást futtatnak, a fenyegetésszintű adataikat az alkalmazásvédelmi szabályzatokkal használva blokkolhatják a szervezeti adatokhoz való hozzáférést.
Az Intune a következőkkel támogatja az integrációt:
- Több külső MTD-partner.
- Végponthoz készült Microsoft Defender, amely további képességeket támogat az Intune-nal.
Végponthoz készült Microsoft Defender
A Végponthoz készült Microsoft Defender önmagában számos, a biztonságra összpontosító előnyt biztosít. Végponthoz készült Microsoft Defender integrálható az Intune-nal, és számos eszközplatformon támogatott. Az integráció révén mobil veszélyforrások elleni védelmi alkalmazást szerezhet be, és képességeket adhat hozzá az Intune-hoz az adatok és az eszközök biztonságának megőrzéséhez. Ezek a képességek a következők:
A Microsoft Tunnel támogatása – Android-eszközökön a Végponthoz készült Microsoft Defender az Intune VPN Gateway-megoldásával, a Microsoft Tunnel-lel használt ügyfélalkalmazás. Ha Microsoft Tunnel-ügyfélalkalmazásként használják, nincs szükség előfizetésre a Végponthoz készült Microsoft Defender.
Biztonsági feladatok – A biztonsági feladatokkal az Intune-rendszergazdák kihasználhatják Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés képességeit. A működés módja:
- A Végponthoz készült Defender csapata azonosítja a kockázatos eszközöket, és létrehozza az Intune biztonsági feladatait a Végponthoz készült Defender biztonsági központban.
- Ezek a feladatok az Intune-ban jelennek meg a kockázatcsökkentési tanácsokkal, amelyeket az Intune rendszergazdái használhatnak a kockázat csökkentésére.
- Ha egy feladat megoldódott az Intune-ban, az állapot visszajut a Végponthoz készült Defender biztonsági központba, ahol a kockázatcsökkentés eredményei kiértékelhetők.
Végpontbiztonsági szabályzatok – Az alábbi Intune-végpontbiztonsági szabályzatok integrálást igényelnek a Végponthoz készült Microsoft Defender. Bérlői csatolás használata esetén ezeket a szabályzatokat az Intune-nal vagy Configuration Manager kezelt eszközökön is üzembe helyezheti.
Víruskereső szabályzat – Kezelheti a Microsoft Defender víruskereső beállításait, valamint a Windows biztonság élményt a támogatott eszközökön, például Windows 10 és macOS rendszeren.
Végpontészlelési és válaszszabályzat – Ezzel a szabályzattal konfigurálhatja a végpontészlelést és -választ (EDR), amely a Végponthoz készült Microsoft Defender képessége.
Feltételes hozzáférés
A feltételes hozzáférés egy Microsoft Entra képesség, amely az Intune-nal együttműködve segíti az eszközök védelmét. A Microsoft Entra ID regisztráló eszközök esetében a feltételes hozzáférési szabályzatok az Intune eszköz- és megfelelőségi adatait használhatják a hozzáférési döntések kikényszerítéséhez a felhasználók és az eszközök számára.
Feltételes hozzáférési szabályzat kombinálása a következőkkel:
Az eszközmegfelelőségi szabályzatok megkövetelhetik, hogy az eszköz megfelelőként legyen megjelölve ahhoz, hogy az eszköz hozzá lehessen férni a szervezet erőforrásaihoz. A feltételes hozzáférési szabályzatok meghatározzák a védeni kívánt alkalmazásszolgáltatásokat, az alkalmazások vagy szolgáltatások elérésének feltételeit, valamint azokat a felhasználókat, amelyekre a szabályzat vonatkozik.
Alkalmazásvédelem szabályzatok olyan biztonsági réteget adhatnak hozzá, amely biztosítja, hogy csak az Intune alkalmazásvédelmi szabályzatait támogató ügyfélalkalmazások férhessenek hozzá az online erőforrásokhoz, például az Exchange-hez vagy más Microsoft 365-szolgáltatásokhoz.
A feltételes hozzáférés az alábbiakkal is együttműködik az eszközök biztonságának megőrzéséhez:
- Végponthoz készült Microsoft Defender és külső MTD-alkalmazások
- Eszközmegfelelési partneralkalmazások
- Microsoft Tunnel
Végponti jogosultságkezelés hozzáadása
A Végponti jogosultságkezelés (EPM) lehetővé teszi, hogy a Windows-felhasználókat standard felhasználóként futtassa, miközben a jogosultságokat csak szükség esetén emeli, a szervezet által beállított szervezeti szabályok és paraméterek szerint. Ez a kialakítás támogatja a minimális jogosultsági hozzáférés kikényszerítését, amely egy Teljes felügyelet biztonsági architektúra alapvető bérlője. Az EPM lehetővé teszi az informatikai csapatok számára, hogy hatékonyabban kezeljék a standard felhasználókat, és korlátozzák a támadási felületüket, mivel csak bizonyos, jóváhagyott alkalmazások vagy feladatok esetében engedélyezik, hogy az alkalmazottak rendszergazdaként fussanak.
A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.
A definiált EPM-jogosultságszint-emelési szabályok üzembe helyezésével csak a megbízható alkalmazások futtatását engedélyezheti emelt szintű környezetben. A szabályok például megkövetelhetik a fájlkivonatok egyezését vagy egy tanúsítvány meglétét a fájlok integritásának ellenőrzéséhez, mielőtt az eszköz fut.
Tipp
A Végponti jogosultságkezelés intune-bővítményként érhető el, amelyhez további licenc szükséges, és támogatja Windows 10 és Windows 11 eszközöket.
További információ: Endpoint Privilege Management.
Következő lépések
Tervezze meg, hogy az Intune képességeivel támogatja a zéró megbízhatóságú környezet felé vezető utat az adatok védelmével és az eszközök biztonságossá tételével. Az előző beágyazott hivatkozásokon túl, ha többet szeretne megtudni ezekről a képességekről, ismerje meg az adatbiztonságot és a megosztást az Intune-ban.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: