Végpontok védelme Teljes felügyelet

Háttér

A modern vállalat az adatokhoz hozzáférő végpontok hihetetlen sokféleségével rendelkezik. Nem minden végpontot a szervezet felügyel vagy birtokol, ami különböző eszközkonfigurációkat és szoftverjavítási szinteket eredményez. Ez hatalmas támadási felületet hoz létre, és ha megoldatlan marad, a munkahelyi adatok nem megbízható végpontokból való elérése könnyen a leggyengébb kapcsolattá válhat a Teljes felügyelet biztonsági stratégiában.

Teljes felügyelet betartja a "Soha ne bízzon meg, mindig ellenőrizze" alapelvet. A végpontok tekintetében ez azt jelenti, hogy mindig ellenőrizze az összes végpontot. Ebbe nem csak a szerződéses, a partneri és a vendégeszközök tartoznak, hanem az alkalmazottak által a munkahelyi adatokhoz való hozzáféréshez használt alkalmazások és eszközök is, függetlenül az eszköz tulajdonjogától.

A Teljes felügyelet megközelítésben ugyanazokat a biztonsági szabályzatokat alkalmazza a rendszer, függetlenül attól, hogy az eszköz vállalati vagy személyes tulajdonban van-e a Saját eszközök használata (BYOD) révén, függetlenül attól, hogy az eszköz teljes mértékben az informatikai felügyelet alatt áll-e, vagy csak az alkalmazások és adatok vannak biztonságban. A szabályzatok az összes végpontra vonatkoznak, legyen szó PC-ről, Macről, okostelefonról, táblagépről, viselhető eszközről vagy IoT-eszközről, függetlenül attól, hogy csatlakoznak-e hozzájuk, legyen az biztonságos vállalati hálózat, otthoni szélessávú kapcsolat vagy nyilvános internet.

A legfontosabb, hogy az ezeken a végpontokon futó alkalmazások állapota és megbízhatósága hatással van a biztonsági helyzetre. Meg kell akadályoznia, hogy a vállalati adatok véletlenül vagy rosszindulatú szándékkal szivárogjanak ki nem megbízható vagy ismeretlen alkalmazásokba vagy szolgáltatásokba.

A Teljes felügyelet modellben az eszközök és végpontok védelmének néhány fő szabálya van:

  • Teljes felügyelet biztonsági szabályzatok központilag érvénybe lépnek a felhőben, és lefedik a végpontbiztonságot, az eszközkonfigurációt, az alkalmazásvédelmet, az eszközmegfelelést és a kockázattartást.

  • A platform és az eszközökön futó alkalmazások biztonságosan ki vannak építve, megfelelően konfigurálva és naprakészen tartva.

  • Biztonsági sérülés esetén automatikus és gyors válasz jelenik meg, amely a vállalati adatokhoz való hozzáférést tartalmazza az alkalmazásokban.

  • A hozzáférés-vezérlési rendszer biztosítja, hogy az adatok elérése előtt minden szabályzatvezérlő érvényben legyen.

Végpont Teljes felügyelet üzembehelyezési célkitűzések

Mielőtt a legtöbb szervezet megkezdené a Teljes felügyelet folyamatot, a végpontbiztonság az alábbiak szerint lesz beállítva:

  • A végpontok tartományhoz csatlakoznak, és olyan megoldásokkal vannak felügyelve, mint az Csoportházirend Objektumok vagy Configuration Manager. Ezek nagyszerű lehetőségek, de nem használják ki a modern Windows 10 CSP-ket, és nem igényelnek külön felhőfelügyeleti átjáróberendezést a felhőalapú eszközök kiszolgálásához.

  • A végpontoknak vállalati hálózaton kell lenniük az adatok eléréséhez. Ez azt jelentheti, hogy az eszközöknek fizikailag a helyszínen kell lenniük a vállalati hálózathoz való hozzáféréshez, vagy VPN-hozzáférést igényelnek, ami növeli annak kockázatát, hogy egy sérült eszköz bizalmas vállalati erőforrásokhoz férhet hozzá.

A végpontok biztonságossá tételéhez teljes körű Teljes felügyelet-keretrendszer implementálásakor azt javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:

List icon with one checkmark.

Az I.Végpontokregisztrálva vannak a felhőbeli identitásszolgáltatóknál. Ahhoz, hogy a biztonságot és a kockázatokat egy személy által használt több végponton is monitorozni tudja, minden olyan eszközön és hozzáférési ponton láthatónak kell lennie, amely esetleg hozzáfér az erőforrásaihoz.

II.A hozzáférés csak a felhőben felügyelt és megfelelő végpontokhoz és alkalmazásokhoz érhető el. Állítson be megfelelőségi szabályokat, hogy az eszközök megfeleljenek a minimális biztonsági követelményeknek a hozzáférés megadása előtt. Emellett állítson be szervizelési szabályokat a nem megfelelő eszközökhöz, hogy a felhasználók tudják, hogyan oldják meg a problémát.

III.Az adatveszteség-megelőzési (DLP) szabályzatok a vállalati eszközökre és a BYOD-ra vannak kényszerítve. Szabályozhatja, hogy mit tehet a felhasználó az adatokkal, miután hozzáféréssel rendelkezik. Korlátozhatja például a fájlmentést nem megbízható helyekre (például helyi lemezre), vagy korlátozhatja a másolási és beillesztési megosztást egy fogyasztói kommunikációs alkalmazással vagy csevegőalkalmazással az adatok védelme érdekében.

Miután ezek befejeződtek, összpontosítson a következő további üzembehelyezési célkitűzésekre:

List icon with two checkmarks.

IV.A végponti fenyegetésészlelés az eszközkockázat monitorozására szolgál. Egyetlen panel használatával konzisztens módon kezelheti az összes végpontot, és egy SIEM használatával irányíthatja a végpontnaplókat és tranzakciókat, így kevesebb, de végrehajtható riasztást kaphat.

AV.Hozzáférés-vezérlés a vállalati eszközökre és a BYOD-ra is korlátozza a végpontkockázatot. Integrálhatja Végponthoz készült Microsoft Defender vagy más Mobile Threat Defense- (MTD-) szállítók adatait az eszközmegfelelési szabályzatok és az eszköz feltételes hozzáférési szabályainak információforrásaként. Az eszközkockázat ezután közvetlenül befolyásolja, hogy az eszköz felhasználója milyen erőforrásokat fog elérni.

Végponti Teljes felügyelet üzembe helyezési útmutató

Ez az útmutató végigvezeti az eszközök biztonságossá tételéhez szükséges lépéseken a Teljes felügyelet biztonsági keretrendszer alapelveit követve.




Checklist icon with one checkmark.

Kezdeti üzembehelyezési célkitűzések

I. A végpontok regisztrálva vannak egy felhőbeli identitásszolgáltatónál

A kockázatnak való kitettség korlátozásához minden végpontot figyelnie kell, hogy meggyőződjön arról, hogy mindegyik megbízható identitással rendelkezik, biztonsági szabályzatokat alkalmaz, és a kártevők vagy adatkiszivárgások kockázati szintjét megmérték, kijavították vagy elfogadhatónak ítélték.

Az eszköz regisztrálása után a felhasználók a vállalati felhasználónevükkel és jelszavukkal hozzáférhetnek a szervezet korlátozott erőforrásaihoz a bejelentkezéshez (vagy Vállalati Windows Hello).

Diagram of the steps within phase 1 of the initial deployment objectives.

Vállalati eszközök regisztrálása a Azure Active Directory (AD) használatával

Kövesse az alábbi lépéseket:

Új Windows 10 eszközök

  1. Indítsa el az új eszközt, és indítsa el az OOBE (kezdőélmény) folyamatot.

  2. A Bejelentkezés a Microsofttal képernyőn írja be munkahelyi vagy iskolai e-mail-címét.

  3. Az Enter your password (Jelszó megadása ) képernyőn írja be a jelszavát.

  4. A mobileszközön hagyja jóvá az eszközt, hogy hozzáférhessen a fiókjához.

  5. Végezze el az OOBE-folyamatot, beleértve az adatvédelmi beállítások beállítását és a Windows Hello beállítását (ha szükséges).

  6. Az eszköz most már csatlakozik a szervezet hálózatához.

Meglévő Windows 10 eszközök

  1. Nyissa meg Gépház, majd válassza a Fiókok lehetőséget.

  2. Válassza a Hozzáférés munkahelyi vagy iskolai rendszerhez, majd a Csatlakozás lehetőséget.

    Access work or school in Settings.

  3. A Munkahelyi vagy iskolai fiók beállítása képernyőn válassza az Eszköz csatlakoztatása az Azure AD-hez lehetőséget.

    Set up a work or school account in Settings.

  4. A Let's get you signed in screen (Legyen bejelentkezve) képernyőn írja be az e-mail-címét (például alain@contoso.com), majd válassza a Tovább gombot.

  5. Az Enter password (Jelszó megadása ) képernyőn írja be a jelszót, majd válassza a Bejelentkezés lehetőséget.

  6. A mobileszközön hagyja jóvá az eszközt, hogy hozzáférhessen a fiókjához.

  7. A Szervezet képernyőjén tekintse át az információkat, és győződjön meg arról, hogy helyes, majd válassza a Csatlakozás lehetőséget.

  8. Az Összes beállítás képernyőn kattintson a Kész gombra.

Személyes Windows-eszközök regisztrálása az Azure AD-ben

Kövesse az alábbi lépéseket:

  1. Nyissa meg Gépház, majd válassza a Fiókok lehetőséget.

  2. Válassza a Hozzáférés munkahelyi vagy iskolai rendszerhez lehetőséget, majd válassza a Csatlakozás lehetőséget az Access munkahelyi vagy iskolai képernyőjén.

    Access work or school in Settings.

  3. A Munkahelyi vagy iskolai fiók hozzáadása képernyőn írja be munkahelyi vagy iskolai fiókjának e-mail-címét, majd válassza a Tovább gombot. Például: alain@contoso.com.

  4. Jelentkezzen be munkahelyi vagy iskolai fiókjába, majd válassza a Bejelentkezés lehetőséget.

  5. Fejezze be a regisztrációs folyamat hátralévő részét, beleértve a személyazonosság-ellenőrzési kérelem jóváhagyását (ha kétlépéses ellenőrzést használ), és állítsa be a Windows Hello (ha szükséges).

Vállalati Windows Hello engedélyezése és konfigurálása

Ha olyan alternatív bejelentkezési módszert szeretne engedélyezni a felhasználóknak, amely jelszavakat cserél, például PIN-kódot, biometrikus hitelesítést vagy ujjlenyomat-olvasót, engedélyezze a Vállalati Windows Hello a felhasználók Windows 10 eszközein.

Az alábbi Microsoft Intune és Azure AD-műveletek a Microsoft Endpoint Manager Felügyeleti központban végezhetők el:

Első lépésként hozzon létre egy Vállalati Windows Hello regisztrációs szabályzatot a Microsoft Intune.

  1. Lépjen az Eszközök > regisztrálása eszközregisztráció >> Windows regisztrációs > Vállalati Windows Hello.

    Windows Hello for Business in Microsoft Intune.

  2. A Vállalati Windows Hello konfigurálásához válasszon az alábbi lehetőségek közül:

    1. Tiltva. Ha nem szeretné használni a Vállalati Windows Hello, válassza ezt a beállítást. Ha le van tiltva, a felhasználók nem építhetnek ki Vállalati Windows Hello, kivéve az Azure AD-hez csatlakoztatott mobiltelefonokat, ahol szükség lehet a kiépítésre.

    2. Engedélyezve. Válassza ezt a beállítást, ha Vállalati Windows Hello beállításokat szeretné konfigurálni. Ha az Engedélyezve lehetőséget választja, a Windows Hello további beállításai is láthatók lesznek.

    3. Nincs konfigurálva. Válassza ezt a beállítást, ha nem szeretné Intune használni Vállalati Windows Hello beállítások vezérléséhez. A Windows 10-eszközök meglévő Vállalati Windows Hello beállításai nem módosulnak. A panelen lévő összes többi beállítás nem érhető el.

Ha az Engedélyezve lehetőséget választotta, konfigurálja az összes regisztrált Windows 10 eszközre és Windows 10 mobileszközre alkalmazott szükséges beállításokat.

  1. Használjon platformmegbízhatósági modult (TPM). A TPM-lapka további adatbiztonsági réteget biztosít. Válasszon az alábbi értékek közül:

    1. Kötelező. Csak az akadálymentes TPM-et használó eszközök építhetnek ki Vállalati Windows Hello.

    2. Előnyben részesített. Az eszközök először TPM-et próbálnak használni. Ha ez a lehetőség nem érhető el, használhatnak szoftveres titkosítást.

  2. Állítsa be a PIN-kód minimális hosszát és a PIN-kód maximális hosszát. Ez úgy konfigurálja az eszközöket, hogy a pin-kód minimális és maximális hosszát használják a biztonságos bejelentkezés érdekében. A PIN-kód alapértelmezett hossza hat karakter, de minimálisan négy karakter hosszúságú lehet. A PIN-kód maximális hossza 127 karakter.

  3. PIN-kód lejáratának beállítása (nap). Érdemes megadni a PIN-kód lejárati idejét, amely után a felhasználóknak módosítaniuk kell azt. Az alapértelmezett érték 41 nap.

  4. Jegyezze meg a PIN-kódelőzményeket. Korlátozza a korábban használt PIN-kódok újrafelhasználását. Alapértelmezés szerint az utolsó 5 PIN-kódot nem lehet újra felhasználni.

  5. Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást. Ez konfigurálja, ha a Windows Hello hamisítás elleni funkcióit az azt támogató eszközökön használják. Például egy arc fényképének észlelése valódi arc helyett.

  6. Engedélyezi a telefonos bejelentkezést. Ha ez a beállítás Igen értékre van állítva, a felhasználók távoli útlevéllel hordozható társeszközként szolgálhatnak az asztali számítógép hitelesítéséhez. Az asztali számítógépnek azure AD-hez kell csatlakoznia, a társeszközt pedig Vállalati Windows Hello PIN-kóddal kell konfigurálni.

Miután konfigurálta ezeket a beállításokat, válassza a Mentés lehetőséget.

Miután konfigurálta az összes regisztrált Windows 10 eszközre és Windows 10 mobileszközre vonatkozó beállításokat, állítsa be az Vállalati Windows Hello Identity Protection-profilokat az adott végfelhasználói eszközök Vállalati Windows Hello biztonsági beállításainak testreszabásához.

  1. Válassza az Eszközkonfigurációs > profilok > Profil létrehozása > Windows 10 és újabb > Identity Protection lehetőséget.

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. Konfigurálja a Vállalati Windows Hello. Adja meg, hogyan szeretné konfigurálni a Vállalati Windows Hello.

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. PIN-kód minimális hossza.

    2. Kisbetűk a PIN-kódban.

    3. Nagybetűk a PIN-kódban.

    4. Speciális karakterek a PIN-kódban.

    5. PIN-kód lejárata (nap).

    6. Jegyezze meg a PIN-kódelőzményeket.

    7. ENGEDÉLYEZZE A PIN-kód helyreállítását. Lehetővé teszi a felhasználó számára a Vállalati Windows Hello PIN-kód helyreállítási szolgáltatás használatát.

    8. Használjon platformmegbízhatósági modult (TPM). A TPM-lapka további adatbiztonsági réteget biztosít.

    9. Biometrikus hitelesítés engedélyezése. Lehetővé teszi a biometrikus hitelesítést, például az arcfelismerést vagy az ujjlenyomatot a PIN-kód alternatívaként Vállalati Windows Hello. A felhasználóknak pin-kódot kell konfigurálniuk arra az esetre, ha a biometrikus hitelesítés meghiúsul.

    10. Ha elérhető, használjon továbbfejlesztett hamisítás elleni hamisítást. Konfigurálja, ha a Windows Hello hamisítás elleni funkcióit használják az azt támogató eszközökön (például egy arc fényképének észlelése valódi arc helyett).

    11. A bejelentkezéshez használjon biztonsági kulcsokat. Ez a beállítás az 1903-Windows 10-es vagy újabb verziót futtató eszközökhöz érhető el. Segítségével kezelheti a bejelentkezéshez Windows Hello biztonsági kulcsok használatát.

Végül további eszközkorlátozási szabályzatokat hozhat létre a vállalati tulajdonú eszközök további zárolásához.

II. A hozzáférés csak a felhőben felügyelt és megfelelő végpontokhoz és alkalmazásokhoz érhető el

Miután rendelkezik a vállalati erőforrásokhoz hozzáférő összes végpont identitásával, és a hozzáférés megadása előtt gondoskodni szeretne arról, hogy azok megfeleljenek a szervezet által beállított minimális biztonsági követelményeknek .

Miután megfelelőségi szabályzatokat hoz létre a vállalati erőforrások megbízható végpontokhoz és mobil- és asztali alkalmazásokhoz való hozzáférésének kapuzásához, minden felhasználó hozzáférhet a szervezeti adatokhoz a mobileszközökön, és az operációs rendszer minimális vagy maximális verziója minden eszközön telepítve van. Az eszközök nincsenek feltörve vagy feltörve.

Emellett állítson be szervizelési szabályokat a nem megfelelő eszközökre, például tiltson le egy nem megfelelő eszközt, vagy adjon türelmi időszakot a felhasználónak a megfelelőség eléréséhez.

Diagram of the steps within phase 2 of the initial deployment objectives.

Megfelelőségi szabályzat létrehozása Microsoft Intune (minden platform) használatával

Megfelelőségi szabályzat létrehozásához kövesse az alábbi lépéseket:

  1. Válassza az Eszközmegfelelési > szabályzatok >> házirendek létrehozása szabályzatot.

  2. Válasszon platformot ehhez a szabályzathoz (Windows 10 például alább).

  3. Válassza ki a kívánt eszközállapot-konfigurációt.

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. Az eszköztulajdonságok minimális vagy maximális értékének konfigurálása.

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. Konfigurálja Configuration Manager megfelelőséget. Ehhez az Configuration Manager összes megfelelőségi értékelésének meg kell felelnie, és csak a közösen felügyelt Windows 10 eszközökre érvényes. Minden csak Intune eszköz n/A értéket ad vissza.

  6. Rendszerbiztonsági Gépház konfigurálása.

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. Konfigurálja a Microsoft Defender Kártevőirtót.

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. Konfigurálja a szükséges Végponthoz készült Microsoft Defender gépi kockázati pontszámot.

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. A Meg nem felelés esetén műveletek lapon adja meg a megfelelőségi szabályzatnak nem megfelelő eszközökre automatikusan alkalmazandó műveletek sorozatát.

    Screenshot of Actions for noncompliance in compliance policy settings.

Az értesítési e-mailek automatizálása és további szervizelési műveletek hozzáadása a nem megfelelő eszközökhöz Intune (minden platformon)

Amikor a végpontjaik vagy alkalmazásaik nem megfelelővé válnak, a felhasználókat önkiszolgáló szervizelés irányítja. A riasztások automatikusan jönnek létre további riasztásokkal és bizonyos küszöbértékekhez beállított automatizált műveletekkel. Meg nem felelő szervizelési műveleteket is beállíthat.

Hajtsa végre az alábbi lépéseket:

  1. Válassza az Eszközök > megfelelőségi szabályzatai > értesítések > – Értesítés létrehozása lehetőséget.

  2. Hozzon létre egy értesítési üzenetsablont.

    Screenshot of Create notification in compliance policy settings.

  3. Válassza az Eszközmegfelelési > szabályzatok házirendek >lehetőséget, válassza ki az egyik szabályzatot, majd válassza a Tulajdonságok lehetőséget.

  4. Válassza a Meg nem felelési > műveletek hozzáadása lehetőséget.

  5. Meg nem felelési műveletek hozzáadása:

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. Automatikus levelezés beállítása a nem megfelelő eszközökkel rendelkező felhasználóknak.

    2. Állítson be egy műveletet a nem megfelelő eszközök távoli zárolásához.

    3. Beállíthat egy műveletet, amely automatikusan kivonja a nem megfelelő eszközöket a megadott számú nap után.

III. Az adatveszteség-megelőzési (DLP) szabályzatok kikényszerítése vállalati eszközökre és BYOD-ra

Az adathozzáférés megadása után szabályozni szeretné, hogy a felhasználó mit tehet az adatokkal. Ha például egy felhasználó vállalati identitással fér hozzá egy dokumentumhoz, meg szeretné akadályozni, hogy a dokumentumot nem védett fogyasztói tárhelyre mentse, vagy hogy megosszon egy fogyasztói kommunikációs vagy csevegőalkalmazással.

Diagram of the steps within phase 3 of the initial deployment objectives.

Először alkalmazza a Microsoft által javasolt biztonsági beállításokat Windows 10 eszközökre a vállalati adatok védelme érdekében (az 1809-Windows 10 vagy újabb verzió szükséges):

Használja Intune biztonsági alapkonfigurációkat a felhasználók és eszközök védelmének biztosításához és védelméhez. A biztonsági alapkonfigurációk Windows beállítások előre konfigurált csoportjai, amelyek segítenek a megfelelő biztonsági csapatok által javasolt ismert beállítások és alapértelmezett értékek alkalmazásában.

Kövesse az alábbi lépéseket:

  1. Válassza ki a végpontbiztonsági > alapkonfigurációkat az elérhető alapkonfigurációk listájának megtekintéséhez.

  2. Válassza ki a használni kívánt alaptervet, majd válassza a Profil létrehozása lehetőséget.

  3. A Konfigurációs beállítások lapon tekintse meg a kiválasztott alaptervben elérhető Gépház csoportjait. A csoport kibontásával megtekintheti az adott csoport beállításait és az alapkonfigurációban lévő beállítások alapértelmezett értékeit. Adott beállítások megkeresése:

    1. Válasszon ki egy csoportot az elérhető beállítások kibontásához és áttekintéséhez.

    2. Használja a keresősávot, és adjon meg kulcsszavakat, amelyek szűrik a nézetet, hogy csak azokat a csoportokat jelenítse meg, amelyek tartalmazzák a keresési feltételeket.

    3. Konfigurálja újra az alapértelmezett beállításokat az üzleti igényeinek megfelelően.

      Screenshot of Application Management settings in Create Profile.

  4. A Hozzárendelések lapon jelölje ki a felvenni kívánt csoportokat, majd rendelje hozzá az alaptervet egy vagy több csoporthoz. A hozzárendelés finomhangolásához zárja ki a Csoportok kijelölése parancsot.

Győződjön meg arról, hogy a frissítések telepítése automatikusan megtörténik a végpontokon

Windows 10 eszközök konfigurálása

Konfigurálja a Windows Vállalati frissítéseket, hogy egyszerűbbé tegye a frissítéskezelést a felhasználók számára, és biztosítsa, hogy az eszközök automatikusan frissüljenek a szükséges megfelelőségi szintnek megfelelően.

Kövesse az alábbi lépéseket:

  1. A Intune Windows 10 szoftverfrissítéseinek kezeléséhez hozzon létre frissítési köröket, és engedélyezzen olyan beállítások gyűjteményét, amelyek konfigurálják, hogy mikor lesznek telepítve Windows 10 frissítések.

    1. Válassza az Eszközök > Windows > Windows 10 frissítési körök > létrehozása lehetőséget.

    2. A Frissítési kör beállításai területen adja meg az üzleti igényeinek megfelelő beállításokat.

      Screenshot of Update settings and User experience settings.

    3. A Hozzárendelések területen válassza a + Felvenni kívánt csoportok kijelölése lehetőséget, majd rendelje hozzá a frissítési kört egy vagy több csoporthoz. A hozzárendelés finomhangolásához használja a kizárandó csoportokat a + Csoportok kiválasztása parancs használatával.

  2. A Intune Windows 10 funkciófrissítéseinek kezeléséhez az eszközöket az Ön által megadott Windows verzióra (például 1803-ra vagy 1809-re) állíthatja, és rögzítheti a funkciókészletet ezeken az eszközökön, amíg úgy nem dönt, hogy egy későbbi Windows verzióra frissíti őket.

    1. Válassza az Eszközök > Windows > Windows 10 Szolgáltatásfrissítések > létrehozása lehetőséget.

    2. Az Alapszintű beállítások területen adjon meg egy nevet, egy leírást (nem kötelező), és a szolgáltatásfrissítés központi telepítéséhez válassza ki a Windows kívánt szolgáltatáskészlettel rendelkező verzióját, majd válassza a Tovább gombot.

    3. A Hozzárendelések területen válassza ki a felvenni kívánt csoportokat, majd rendelje hozzá a funkciófrissítés központi telepítését egy vagy több csoporthoz.

iOS-eszközök konfigurálása

A vállalat által regisztrált eszközök esetében az iOS-frissítéseket úgy konfigurálhatja, hogy egyszerűbbé tegye a frissítéskezelést a felhasználók számára, és győződjön meg arról, hogy az eszközök automatikusan frissülnek a szükséges megfelelőségi szintnek megfelelően. Konfigurálja az iOS frissítési szabályzatát.

Kövesse az alábbi lépéseket:

  1. Válassza az Eszközfrissítési > szabályzatok lehetőséget az iOS/iPadOS > Create profilhoz.

  2. Az Alapvető beállítások lapon adja meg a szabályzat nevét, adjon meg egy leírást (nem kötelező), majd válassza a Tovább gombot.

  3. A Szabályzatbeállítások frissítése lapon konfigurálja a következőket:

    1. Válassza ki a telepíteni kívánt verziót. A következő lehetőségek közül választhat:

      1. Legújabb frissítés: Ez telepíti az iOS/iPadOS legújabb frissítését.

      2. Bármely korábbi verzió, amely elérhető a legördülő listában. Ha egy korábbi verziót választ, egy eszközkonfigurációs szabályzatot is telepítenie kell a szoftverfrissítések láthatóságának késleltetéséhez.

    2. Ütemezés típusa: Konfigurálja a szabályzat ütemezését:

      1. Frissítés a következő bejelentkezéskor. A frissítés akkor telepítheti az eszközt, amikor legközelebb bejelentkezik Intune. Ez a legegyszerűbb lehetőség, és nincs további konfigurációja.

      2. Frissítés az ütemezett időpontban. Egy vagy több időablakot konfigurálhat, amely alatt a frissítés a bejelentkezéskor telepedik.

      3. Frissítés az ütemezett időponton kívül. Egy vagy több olyan időablakot konfigurálhat, amely alatt a frissítések bejelentkezéskor nem lesznek telepítve.

    3. Heti ütemezés: Ha a következő bejelentkezéskor a frissítéstől eltérő ütemezési típust választ, konfigurálja a következő beállításokat:

      Screenshot of Update policy settings in Create profile.

  4. Válasszon egy időzónát.

  5. Definiáljon egy időablakot. Határozzon meg egy vagy több olyan időblokkot, amely korlátozza a frissítések telepítését. A lehetőségek közé tartozik a kezdési nap, a kezdési időpont, a záró nap és a befejezés időpontja. A kezdő és a záró nap használatával az éjszakai blokkok támogatottak. Ha nem konfigurálja az időpontokat a kezdéshez vagy a befejezéshez, a konfiguráció nem eredményez korlátozást, és a frissítések bármikor telepíthetők.

Győződjön meg arról, hogy az eszközök titkosítva vannak

A BitLocker konfigurálása Windows 10 eszközök titkosítására

  1. Válassza az Eszközkonfigurációs > profilok > – Profil létrehozása lehetőséget.

  2. Adja meg a következő beállításokat:

    1. Platform: Windows 10 és újabb verziók

    2. Profil típusa: Végpontvédelem

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. Válassza Gépház > Windows Titkosítás lehetőséget.

    Screenshot of Endpoint protection in Create profile.

  4. Konfigurálja a BitLocker beállításait az üzleti igényeinek megfelelően, majd kattintson az OK gombra.

FileVault-titkosítás konfigurálása macOS-eszközökön

  1. Válassza az Eszközkonfigurációs > profilok > – Profil létrehozása lehetőséget.

  2. Adja meg a következő beállításokat:

    1. Platform: macOS.

    2. Profil típusa: Végpontvédelem.

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. Válassza Gépház > FileVault lehetőséget.

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. FileVault esetén válassza az Engedélyezés lehetőséget.

  5. A helyreállítási kulcs típusa esetén csak a személyes kulcs támogatott.

  6. Konfigurálja a fennmaradó FileVault-beállításokat az üzleti igényeinek megfelelően, majd kattintson az OK gombra.

Alkalmazásvédelmi szabályzatok létrehozása a vállalati adatok alkalmazásszintű védelméhez

Annak érdekében, hogy az adatok biztonságosak vagy felügyelt alkalmazásokban legyenek tárolva, hozzon létre alkalmazásvédelmi szabályzatokat (APP). A szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor a felhasználó "vállalati" adatokhoz próbál hozzáférni vagy áthelyezni, vagy olyan műveletek halmaza, amelyeket a rendszer tilt vagy figyel, amikor a felhasználó az alkalmazásban tartózkodik.

Az APP adatvédelmi keretrendszer három különböző konfigurációs szintre van osztva, és mindegyik szint az előző szintből épül fel:

  • A vállalati alapszintű adatvédelem (1. szint) biztosítja, hogy az alkalmazások PIN-kóddal és titkosítással legyenek védve, és szelektív törlési műveleteket hajtanak végre. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközigazolást. Ez egy olyan bejegyzésszintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít Exchange Online postaláda-házirendekben, és bevezeti az informatikai és a felhasználói populációt az APP-ban.

  • A nagyvállalati szintű fokozott adatvédelem (2. szint) alkalmazásadat-szivárgás-megelőzési mechanizmusokat és minimális operációsrendszer-követelményeket vezet be. Ez a konfiguráció alkalmazható a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére.

  • A nagyvállalati magas szintű adatvédelem (3. szint) fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-konfigurációt és APP Mobile Threat Defense-t vezet be. Ez a konfiguráció olyan felhasználók számára ajánlott, amelyek magas kockázatú adatokhoz férnek hozzá.

Kövesse az alábbi lépéseket:

  1. Intune portálon válassza az Alkalmazások>Alkalmazásvédelem szabályzatok lehetőséget. Ez a kijelölés megnyitja a Alkalmazásvédelem házirendek részleteit, ahol új házirendeket hozhat létre, és szerkesztheti a meglévő szabályzatokat.

  2. Válassza a Szabályzat létrehozása lehetőséget , majd válassza az iOS/iPadOS vagy az Android lehetőséget. Megjelenik a Szabályzat létrehozása panel.

  3. Válassza ki azokat az alkalmazásokat, amelyekre alkalmazni szeretné az alkalmazásvédelmi szabályzatot.

  4. Adatvédelmi Gépház konfigurálása:

    1. iOS/iPadOS-adatvédelem. További információ: iOS/iPadOS alkalmazásvédelmi szabályzat beállításai – Adatvédelem.

    2. Android-adatvédelem. További információt az Android alkalmazásvédelmi szabályzatának beállításai – Adatvédelem című témakörben talál.

  5. Hozzáférési követelmény konfigurálása Gépház:

    1. Az iOS/iPadOS hozzáférési követelményei. További információ: iOS/iPadOS alkalmazásvédelmi szabályzat beállításai – Hozzáférési követelmények.

    2. Android-hozzáférési követelmények. További információt az Android alkalmazásvédelmi szabályzatának beállításai – Hozzáférési követelmények című témakörben talál.

  6. Feltételes indítási Gépház konfigurálása:

    1. iOS/iPadOS feltételes indítás. További információ: iOS/iPadOS alkalmazásvédelmi szabályzat beállításai – Feltételes indítás.

    2. Androidos feltételes indítás. További információt az Android alkalmazásvédelmi szabályzatának beállításai – Feltételes indítás című témakörben talál.

  7. Kattintson a Tovább gombra a Feladatok lap megjelenítéséhez.

  8. Ha végzett, kattintson a Létrehozás gombra az alkalmazásvédelmi szabályzat létrehozásához Intune.




Checklist icon with two checkmarks.

További üzembehelyezési célkitűzések

IV. A végponti fenyegetésészlelés az eszközkockázat monitorozására szolgál

Az első három cél elérése után a következő lépés a végpontbiztonság konfigurálása a speciális védelem kiépítéséhez, aktiválásához és figyeléséhez. Egyetlen üvegtáblával konzisztensen kezelhetők az összes végpont együtt.

Végpontnaplók és tranzakciók átirányítása SIEM-hez vagy Power BI

Az Intune Data Warehouse használatával eszköz- és alkalmazásfelügyeleti adatokat küldhet jelentéskészítő vagy SIEM-eszközöknek a riasztások intelligens szűréséhez a zaj csökkentése érdekében.

Kövesse az alábbi lépéseket:

  1. Válassza a Jelentések > Intune adattárház > lehetőséget.

  2. Másolja ki az egyéni hírcsatorna URL-címét. Például: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Nyissa meg Power BI Desktop vagy SIEM-megoldását.

A SIEM-megoldásból

Válassza ki az Adatok importálása vagy lekérése Odata-hírcsatornából lehetőséget.

A PowerBI-ból

  1. A menüben válassza a Fájlbeolvasás >> OData-adatcsatornát.

  2. Illessze be a korábbi lépésből kimásolt egyéni hírcsatorna URL-címét az OData-adatcsatorna ablakÁNAK URL-cím mezőjébe.

  3. Válassza az Alapszintű lehetőséget.

  4. Kattintson az OK gombra.

  5. Válassza ki a Szervezeti fiókot, majd jelentkezzen be a Intune hitelesítő adataival.

    Screenshot of OData feed setting in Organizational account.

  6. Válassza a Csatlakozás lehetőséget. Ekkor megnyílik a Kezelő, és megjeleníti a Intune Data Warehouse lévő táblák listáját.

  7. Válassza ki az eszközöket és a ownerTypes táblákat. Válassza a Betöltés lehetőséget. Power BI betölti az adatokat a modellbe.

  8. Hozzon létre egy kapcsolatot. Több táblát is importálhat, hogy ne csak egyetlen tábla adatait elemezze, hanem a táblák közötti kapcsolódó adatokat is. Power BI rendelkezik egy automatikus észlelés nevű funkcióval, amely megkísérli megkeresni és létrehozni a kapcsolatokat. A Data Warehouse táblái az Power BI automatikus észlelés funkciójának használatához lettek létrehozva. Ha azonban Power BI nem találja meg automatikusan a kapcsolatokat, továbbra is kezelheti a kapcsolatokat.

  9. Válassza a Kapcsolatok kezelése lehetőséget.

  10. Válassza az Automatikus észlelés lehetőséget, ha Power BI még nem észlelte a kapcsolatokat.

  11. Ismerje meg a PowerBI-vizualizációk beállításának speciális módjait.

V. A hozzáférés-vezérlés a vállalati eszközökre és a BYOD-ra is korlátozza a végpontkockázatot

A vállalati eszközök regisztrálva vannak egy felhőregisztrációs szolgáltatásban, például a DEP-ben, az Android Enterprise-ban vagy Windows AutoPilotban

A testre szabott operációsrendszer-lemezképek létrehozása és karbantartása időigényes folyamat, és magában foglalhatja az egyéni operációsrendszer-lemezképek új eszközökre való alkalmazásával kapcsolatos időt is, hogy előkészítse őket a használatra.

  • A Microsoft Intune felhőalapú regisztrációs szolgáltatásokkal anélkül adhat új eszközöket a felhasználóknak, hogy egyéni operációsrendszer-lemezképeket kellene létrehoznia, karbantartania és alkalmaznia az eszközökön.

  • Windows Autopilot az új eszközök beállítására és előre konfigurálására használt technológiák gyűjteménye, amelyek előkészítik őket a hatékony használatra. Az Windows Autopilot használatával alaphelyzetbe állíthatja, átalakíthatja és helyreállíthatja az eszközöket.

  • Konfigurálja Windows Autopilotot az Azure AD Join automatizálásához, és regisztráljon új vállalati tulajdonú eszközöket Intune.

  • Konfigurálja az Apple DEP-t az iOS- és iPadOS-eszközök automatikus regisztrálásához.

Az útmutatóban szereplő termékek

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (Microsoft Intune és Configuration Manager is)

Végponthoz készült Microsoft Defender

Bitlocker

Következtetés

A Teljes felügyelet megközelítés jelentősen megerősítheti az eszközök és végpontok biztonsági helyzetét. Ha további információra van szüksége, vagy segítségre van szüksége a megvalósításhoz, forduljon az Ügyfélsikereség csapatához, vagy olvassa tovább az útmutató többi fejezetét, amelyek az összes Teljes felügyelet pillérre kiterjednek.



A Teljes felügyelet üzembe helyezési útmutató sorozata

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration