Eszközök kezelése Intune áttekintésével

  • Cikk

A vállalati szintű biztonság egyik alapvető összetevője az eszközök kezelése és védelme. Akár Teljes felügyelet biztonsági architektúrát készít, megkeményíti a környezetet a zsarolóprogramokkal szemben, akár védelmet épít a távoli dolgozók támogatásához, az eszközök kezelése a stratégia része. Bár a Microsoft 365 számos eszközt és módszertant tartalmaz az eszközök kezeléséhez és védelméhez, ez az útmutató végigvezeti a Microsoft javaslatain a Microsoft Intune használatával. Ez a megfelelő útmutató az Ön számára, ha:

  • Tervezze meg az eszközök Intune való regisztrálását Microsoft Entra csatlakozással (beleértve Microsoft Entra hibrid csatlakoztatást is).
  • Tervezze meg, hogy manuálisan regisztrálja az eszközöket a Intune.
  • Lehetővé teszi, hogy a tervekkel rendelkező BYOD-eszközök alkalmazás- és adatvédelmet valósíthassanak meg, és/vagy regisztrálják ezeket az eszközöket a Intune.

Ha azonban a környezete közös felügyeleti terveket is tartalmaz, beleértve a Microsoft Configuration Manager is, tekintse meg a közös felügyeleti dokumentációt, amely a legjobb utat nyújtja a szervezet számára. Ha a környezete Windows 365 felhőalapú PC terveket tartalmaz, tekintse meg Windows 365 Enterprise dokumentációt, amely a legjobb utat nyújtja a szervezet számára.

Tekintse meg ezt a videót az üzembehelyezési folyamat áttekintéséhez.

Miért érdemes végpontokat kezelni?

A modern vállalat az adatokhoz hozzáférő végpontok hihetetlen sokféleségével rendelkezik. Ez a beállítás hatalmas támadási felületet hoz létre, így a végpontok könnyen a leggyengébb hivatkozássá válhatnak a Teljes felügyelet biztonsági stratégiában.

Leginkább a szükségesség vezérelte, mivel a világ egy távoli vagy hibrid munkahelyi modellre váltott, a felhasználók bárhonnan, bármilyen eszközről dolgoznak, több mint bármikor a történelemben. A támadók gyorsan módosítják a taktikáikat, hogy kihasználhassák ezt a változást. Számos szervezet korlátozott erőforrásokkal szembesül, amikor az új üzleti kihívások között navigál. A vállalatok gyakorlatilag egyik napról a másikra felgyorsítják a digitális átalakulást. Egyszerűen fogalmazva, az emberek munkamódja megváltozott. A továbbiakban nem számítunk arra, hogy a vállalati erőforrások számtalan részét csak az irodából és a vállalati tulajdonú eszközökről fogjuk elérni.

A Teljes felügyelet eszközstratégiának első lépése, hogy betekintést nyerjen a vállalati erőforrásokhoz hozzáférő végpontokba. A vállalatok általában proaktív módon védik a számítógépeket a biztonsági résekkel és a támadásokkal szemben, miközben a mobileszközök gyakran felügyelet nélkül és védelem nélkül maradnak. Annak érdekében, hogy ne tegyük ki az adatait kockázatnak, minden végpontot figyelni kell a kockázatokra, és részletes hozzáférés-vezérlést kell alkalmaznunk a megfelelő szintű hozzáférés biztosításához a szervezeti szabályzat alapján. Ha például egy személyes eszköz jailbreakelt, letilthatja a hozzáférést, hogy a vállalati alkalmazások ne legyenek kitéve az ismert biztonsági réseknek.

Ez a cikksorozat végigvezeti az erőforrásokhoz hozzáférő eszközök kezelésének ajánlott folyamatán. Ha követi az ajánlott lépéseket, a szervezet nagyon kifinomult védelmet nyújt az eszközeinek és az általuk elérhető erőforrásoknak.

A védelmi rétegek megvalósítása az eszközökön és az eszközökön

Az eszközökön és az eszközökön lévő adatok és alkalmazások védelme többrétegű folyamat. A nem felügyelt eszközökön bizonyos védelem érhető el. Az eszközök felügyeletbe való regisztrálása után kifinomultabb vezérlőket valósíthat meg. Ha a végpontokon fenyegetésvédelmet helyez üzembe, még több megállapítást kaphat, és képes automatikusan elhárítani bizonyos támadásokat. Végül, ha a szervezet a bizalmas adatok azonosítására, a besorolás és címkék alkalmazására, valamint a Microsoft Purview adatveszteség-megelőzés szabályzatok konfigurálására helyezte a munkát, még részletesebb védelmet kaphat a végpontokon lévő adatok számára.

Az alábbi ábra azokat az építőelemeket szemlélteti, amelyekkel Teljes felügyelet biztonsági helyzet érhető el a Microsoft 365 és más SaaS-alkalmazások számára, amelyeket ebben a környezetben vezet be. Az eszközökhöz kapcsolódó elemek száma 1 és 7 között van. Az eszközrendszergazdák a többi rendszergazdával együttműködve érik el ezeket a védelmi rétegeket.

Desc.

Ebben az ábrán:

  Lépés Leírás Licencelési követelmények
1 Kiindulási pont Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok konfigurálása Az identitásadminisztrátorsal együttműködve implementálhatja a 2. szintű alkalmazásvédelmi szabályzatok (APP) adatvédelmét. Ezek a szabályzatok nem igénylik az eszközök felügyeletét. Az alkalmazásszabályzatokat a Intune konfigurálhatja. Az identitásadminisztrátor feltételes hozzáférési szabályzatot konfigurál, hogy jóváhagyott alkalmazásokat követeljen meg. E3, E5, F1, F3, F5
2 Eszközök regisztrálása Intune Ez a feladat több tervezést és időt igényel a megvalósításhoz. A Microsoft Intune használatát javasolja az eszközök regisztrálásához, mivel ez az eszköz optimális integrációt biztosít. A platformtól függően számos lehetőség van az eszközök regisztrálására. A Windows-eszközök például regisztrálhatók Microsoft Entra csatlakozással vagy az Autopilot használatával. Át kell tekintenie az egyes platformok beállításait, és el kell döntenie, hogy melyik regisztrációs lehetőség a legmegfelelőbb a környezetéhez. Lásd: 2. lépés. További információért regisztrálja az eszközöket a Intune. E3, E5, F1, F3, F5
3 Megfelelőségi szabályzatok konfigurálása Meg szeretne győződni arról, hogy az alkalmazásokhoz és az adatokhoz hozzáférő eszközök megfelelnek a minimális követelményeknek, például az eszközök jelszóval vagy pin-kóddal vannak védve, és az operációs rendszer naprakész. A megfelelőségi szabályzatok határozzák meg az eszközök által teljesítendő követelményeket. 3. lépés. A megfelelőségi szabályzatok beállítása segít ezeknek a szabályzatoknak a konfigurálásában. E3, E5, F3, F5
4 Vállalati (ajánlott) Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok konfigurálása Az eszközök regisztrálása után az identitásadminisztrátorsal együttműködve finomhangolhatja a feltételes hozzáférési szabályzatokat, hogy kifogástalan és megfelelő eszközökre legyen szükség. E3, E5, F3, F5
5 Konfigurációs profilok üzembe helyezése Az olyan eszközmegfelelőségi szabályzatokkal szemben, amelyek egyszerűen megfelelőként jelölnek meg egy eszközt, vagy nem a konfigurált feltételek alapján, a konfigurációs profilok ténylegesen megváltoztatják az eszköz beállításainak konfigurációját. Konfigurációs szabályzatokkal megerősítheti az eszközöket a kibertámadásokkal szemben. Lásd: 5. lépés. Konfigurációs profilok üzembe helyezése. E3, E5, F3, F5
6 Eszközkockázat és a biztonsági alapkonfigurációknak való megfelelés monitorozása Ebben a lépésben csatlakoztatni fog Intune Végponthoz készült Microsoft Defender. Ezzel az integrációval a hozzáférés feltételeként figyelheti az eszközkockázatot. A kockázatos állapotúnak talált eszközök le vannak tiltva. A biztonsági alapkonfigurációknak való megfelelőséget is figyelheti. Lásd: 6. lépés. Monitorozza az eszközkockázatot és a biztonsági alapkonfigurációknak való megfelelést. E5, F5
7 Adatveszteség-megelőzés (DLP) implementálása adatvédelmi képességekkel Ha a szervezet a bizalmas adatok azonosítására és a dokumentumok címkézésére helyezte a munkát, az adatvédelmi rendszergazdával együttműködve megvédheti a bizalmas adatokat és dokumentumokat az eszközein. E5, F5 megfelelőségi bővítmény

A végpontkezelés koordinálása Teljes felügyelet identitás- és eszközhozzáférési szabályzatokkal

Ez az útmutató szorosan együttműködik az ajánlott Teljes felügyelet identitás- és eszközhozzáférés-szabályzatokkal. Az identitáskezelési csapattal együttműködve fogja elvégezni a Intune által konfigurált védelmet a Microsoft Entra ID feltételes hozzáférési szabályzataiban.

Íme egy ábra az ajánlott szabályzatkészletről, a Intune-ban végzett munkához szükséges lépésfeliratokkal és a kapcsolódó feltételes hozzáférési szabályzatokkal, amelyekkel összehangolhatja Microsoft Entra ID.

Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok.

Ebben az ábrán:

  • Az 1. lépésben, a 2. szintű alkalmazásvédelmi szabályzatok (APP) implementálásával konfigurálja az ajánlott adatvédelmi szintet az alkalmazásszabályzatokkal. Ezután az identitásért felelős csapattal együttműködve konfigurálja a kapcsolódó feltételes hozzáférési szabályt, hogy megkövetelje a védelem használatát.
  • A 2., 3. és 4. lépésben regisztrálja az eszközöket a felügyeletre Intune, eszközmegfelelőségi szabályzatokat határoz meg, majd koordinálja az identitáskezelő csapattal a kapcsolódó feltételes hozzáférési szabály konfigurálását úgy, hogy csak a megfelelő eszközökhöz engedélyezze a hozzáférést.

Eszközök regisztrálása és az eszközök előkészítése

Ha követi ezt az útmutatót, az eszközöket a Intune használatával fogja beléptetni a felügyeletbe, és az alábbi Microsoft 365-képességekhez fogja regisztrálni az eszközöket:

  • Végponthoz készült Microsoft Defender
  • Microsoft Purview (végponti adatveszteség-megelőzéshez (DLP))

Az alábbi ábra a Intune használatával mutatja be ennek működését.

Az eszközök regisztrálásának és előkészítésének folyamata.

Az ábrán:

  1. Eszközök regisztrálása felügyeletre a Intune.
  2. A Intune használatával regisztrálhatja az eszközöket a Végponthoz készült Defenderbe.
  3. A Végponthoz készült Defenderbe előkészített eszközök a Microsoft Purview funkcióit is tartalmazzák, beleértve a végpontILP-t is.

Vegye figyelembe, hogy csak Intune kezeli az eszközöket. Az előkészítés azt jelenti, hogy az eszköz információkat oszthat meg egy adott szolgáltatással. Az alábbi táblázat összefoglalja az eszközök felügyeletbe való regisztrálása és egy adott szolgáltatáshoz tartozó eszközök előkészítése közötti különbségeket.

  Beiratkozik Előkészítés
Leírás A regisztráció az eszközök kezelésére vonatkozik. Az eszközök Intune vagy Configuration Manager felügyeletére vannak regisztrálva. Az előkészítés úgy konfigurálja az eszközt, hogy a Microsoft 365 adott képességeivel működjön. Az előkészítés jelenleg a Végponthoz készült Microsoft Defender és a Microsoft megfelelőségi képességeire vonatkozik.

Windows-eszközökön az előkészítés magában foglalja egy olyan beállítás Windows Defender való bekapcsolását, amely lehetővé teszi a Defender számára, hogy csatlakozzon az online szolgáltatáshoz, és fogadja el az eszközre vonatkozó szabályzatokat.
Hatókör Ezek az eszközfelügyeleti eszközök a teljes eszközt felügyelik, beleértve az eszköz konfigurálását, hogy megfeleljenek bizonyos céloknak, például a biztonságnak. Az előkészítés csak az érintett szolgáltatásokat érinti.
Ajánlott módszer Microsoft Entra csatlakozás automatikusan regisztrálja az eszközöket a Intune. Intune az ajánlott módszer az eszközöknek a végponthoz Windows Defender való előkészítéséhez, és ebből következően a Microsoft Purview képességei.

Vegye figyelembe, hogy a Microsoft Purview képességeihez más módszerekkel előkészített eszközök nem lesznek automatikusan regisztrálva a Végponthoz készült Defenderben.
Egyéb metódusok A regisztráció egyéb módjai az eszköz platformjától és attól függenek, hogy BYOD-e, vagy a szervezete kezeli. Az eszközök előkészítésének egyéb módszerei a javasolt sorrendben:
  • Konfigurációkezelő
  • Egyéb mobileszköz-kezelő eszköz (ha az eszközt egy felügyeli)
  • Helyi szkript
  • VDI-konfigurációs csomag nem állandó virtuális asztali infrastruktúra - (VDI-) eszközök előkészítéséhez
  • Csoportházirend
    		•

    Tanulás rendszergazdáknak

    Az alábbi források segítségével a rendszergazdák megismerhetik a Intune használatával kapcsolatos fogalmakat.

    • Az eszközfelügyelet egyszerűsítése Microsoft Intune betanítási modullal

      Megtudhatja, hogy a Microsoft 365 üzletviteli megoldásai hogyan nyújtanak biztonságos, személyre szabott asztali élményt a felhasználóknak, és hogyan segítik a szervezeteket abban, hogy egyszerűbb rendszergazdai felületen kezelhessék az összes eszköz frissítéseit.

    • Microsoft Intune kiértékelése

      Microsoft Intune segít megvédeni azokat az eszközöket, alkalmazásokat és adatokat, amelyeket a szervezet tagjai a hatékonyság érdekében használnak. Ebből a cikkből megtudhatja, hogyan állíthatja be a Microsoft Intune. A beállítás magában foglalja a támogatott konfigurációk áttekintését, a Intune regisztrálását, a felhasználók és csoportok hozzáadását, a licencek felhasználókhoz rendelését, a rendszergazdai engedélyek megadását, valamint a Mobile Eszközkezelés (MDM) szolgáltató beállítását.

    További lépés

    Lépjen az 1. lépésre. Alkalmazásvédelmi szabályzatok implementálása.