Végpontintegrációk

A végpontok olyan eszközök, amelyek egy szervezet erőforrásaihoz és alkalmazásaihoz férnek hozzá. A modern munkahelyek számos olyan eszközt tartalmaznak, amelyek hozzáférést kérnek a vállalati hálózaton belülről és kívülről is.

A végpontokhoz tartozó zéró megbízhatósági megoldások a munkahelyi adatokhoz hozzáférő eszközök biztonságának ellenőrzéséről szólnak, beleértve az eszközökön futó alkalmazásokat is. A partnerek integrálhatók a Microsoft végpontmegoldásaival az eszköz- és alkalmazásbiztonság ellenőrzéséhez, a minimális jogosultsági szabályzatok kikényszerítéséhez és a biztonsági incidensek előzetes előkészítéséhez.

Ez az útmutató azoknak a szoftverszolgáltatóknak és technológiai partnereknek szól, akik a Microsoft-termékekkel való integrációval szeretnék továbbfejleszteni végpontbiztonsági megoldásaikat.

Útmutató a végpontok megbízhatóság nélküli integrációjához

Ez az integrációs útmutató útmutatást tartalmaz a következő termékekkel való integrációhoz:

  • A Microsoft Defender for Endpoint segít a vállalati hálózatoknak a speciális fenyegetések megelőzésében, észlelésében, kivizsgálásában és az azokra való reagálásban.
  • Microsoft Endpoint Manager, amely védelmet és biztonságot nyújt az alkalmazottak által használt eszközök és az azokon futó alkalmazások számára.

Microsoft Defender végponthoz

A Microsoft Defender for Endpoint egy vállalati végpontbiztonsági platform, amelynek célja, hogy segítse a vállalati hálózatokat a speciális fenyegetések megelőzésében, észlelésében, kivizsgálásában és elhárításában. Végpontviselkedési érzékelők, felhőalapú biztonsági elemzések és fenyegetésfelderítés kombinációját használja.

A Defender for Endpoint támogatja a harmadik féltől származó alkalmazásokat a platform észlelési, vizsgálati és fenyegetésfelderítési képességeinek javításához. Emellett a partnerek kiterjeszthetik meglévő biztonsági ajánlataikat a nyílt keretrendszerre, valamint az API-k gazdag és teljes készletére, hogy bővítményeket és integrációkat építsenek ki a Defender for Endpoint szolgáltatással.

A Végponthoz készült Microsoft Defender partneri lehetőségek és forgatókönyvek oldala számos támogatott integrációs kategóriát ismertet. Emellett az integrációs forgatókönyvekre vonatkozó egyéb ötletek a következők lehetnek:

  • A fenyegetés elhárításának egyszerűsítése: A Microsoft Defender for Endpoint azonnali vagy operátori támogatású válaszokat is képes adni a riasztások kezelésére. A partnerek a végpont válaszműveleteivel, például a gépelkülönítéssel és a fájlzárlatokkal blokkolhatják az IoC-t a felügyelt végponton.
  • A hálózati hozzáférés-vezérlés és az eszközbiztonság kombinálása: A kockázati vagy expozíciós pontszámok felhasználhatók a hálózati és alkalmazás-hozzáférésre vonatkozó szabályzatok implementálásához és kikényszerítéséhez.

Ahhoz, hogy a Végponthoz készült Defender megoldás partnerévé váljon, végre kell hajtania a Microsoft Defender for Endpoint-partnerré válással kapcsolatos lépéseket, és végre kell hajtania a lépéseket.

Microsoft Endpoint Manager

A Microsoft Endpoint Manager, amely a Microsoft Intune-t és a Microsoft Configuration Managert is magában foglalja, védelmet és biztonságot nyújt az alkalmazottak által használt eszközök és az azokon futó alkalmazások számára. Az Endpoint Manager olyan eszközmegfelelőségi szabályzatokat tartalmaz, amelyek biztosítják, hogy az alkalmazottak a vállalati biztonsági szabályzatoknak megfelelő eszközökről férhessenek hozzá az alkalmazásokhoz és az adatokhoz. Alkalmazásvédelmi szabályzatokat is tartalmaz, amelyek alkalmazásalapú biztonsági vezérlőket biztosítanak a teljes mértékben felügyelt és az alkalmazottak tulajdonában lévő eszközökhöz is.

A Microsoft Endpoint Managerrel való integrációhoz az ISV-k a Microsoft Graphot és a Microsoft Endpoint Manager alkalmazáskezelési SDK-t használják. Az Endpoint Manager a Graph API-val való integrációja lehetővé teszi az Endpoint Manager (Intune) felügyeleti konzolja által kínált funkciók bármelyikét. Az olyan információk, mint az eszközmegfelelési állapot, a megfelelőségi szabályzat konfigurálása, az alkalmazásvédelmi szabályzat beállításai és egyebek a Graph API-n keresztül találhatók. Emellett automatizálhatja az Endpoint Managerben azokat a feladatokat, amelyek tovább javítják az ügyfél teljes megbízhatósági történetét. Az Intune a Microsoft Graphban való használatához a Microsoft Graph dokumentációs adattárában találhat általános útmutatást. Itt a zéró megbízhatósághoz kapcsolódó forgatókönyvekre összpontosítunk.

Microsoft Graph, Microsoft Graph data connect, and Microsoft Graph connectors enable extending Microsoft 365 experiences and building intelligent apps.

Annak ellenőrzése, hogy az eszközök megfelelnek-e a biztonsági és megfelelőségi szabványoknak

Az ISV-megoldások az Endpoint Manager eszközmegfelelőségi és szabályzati információinak használatával támogatják az explicit ellenőrzés "Megbízható" elvét. Az Endpoint Managerből származó felhasználókra és eszközökre vonatkozó megfelelőségi adatok lehetővé teszik az ISV-alkalmazás számára, hogy meghatározza az eszköz kockázati helyzetét az alkalmazás használatával kapcsolatban. Ezekkel az ellenőrzésekkel az ISV biztosítja, hogy a szolgáltatást használó eszközök megfeleljenek az ügyfelek biztonsági és megfelelőségi szabványainak és szabályzatainak.

A Microsoft Graph API lehetővé teszi, hogy a független szoftverszállítók RESTful API-kkal integrálhatók az Endpoint Managerrel (Intune-nal). Ezek az API-k ugyanazok, amelyeket az Endpoint Manager-konzol használ az Intune összes műveletének, adatának és tevékenységének megtekintéséhez, létrehozásához, kezeléséhez, üzembe helyezéséhez és jelentéséhez. A megbízhatónak tekinthető kezdeményezéseket támogató független szoftverszállítók számára érdekes elemek az eszközmegfelelőségi állapot megtekintésének és a megfelelőségi szabályok és szabályzatok konfigurálásának lehetősége. Tekintse meg a Microsoft javaslatait az Azure AD és az Endpoint Manager for Zero Trust konfigurálásának és megfelelőségének használatához: Biztonságos végpontok zéró megbízhatósággal. Az Endpoint Manager megfelelőségi szabályai az Azure Active Directoryn keresztüli eszközalapú feltételes hozzáférés támogatásának alapjai. Az ISV-knek emellett meg kell tekinteniük a feltételes hozzáférési funkciót és API-kat is, hogy megismerhessék a felhasználói és eszközmegfelelőségi forgatókönyvek és a feltételes hozzáférés forgatókönyveinek elvégzését.

Ideális esetben isV-ként az alkalmazás felhőalkalmazásként csatlakozik a Microsoft Graph API-khoz, és szolgáltatás-szolgáltatás kapcsolatot létesít. A több-bérlős alkalmazások központosított alkalmazásdefiníciót és vezérlést biztosítanak a független szoftverszállítók számára, és lehetővé teszik az ügyfelek számára, hogy egyedileg hozzájáruljanak a bérlői adatokon futó ISV-alkalmazáshoz. Tekintse át az Azure Active Directory bérlői adatait az egy- vagy több-bérlős Azure AD-alkalmazások regisztrálásához és létrehozásához. Az alkalmazás hitelesítése az Azure AD-t használhatja az egyszeri bejelentkezéshez.

Az alkalmazás létrehozása után hozzá kell férnie az eszköz és a megfelelőségi információkhoz a Microsoft Graph API használatával. A Microsoft Graph használatára vonatkozó dokumentáció a Microsoft Graph fejlesztői központban található. A Graph API olyan API-k RESTful készlete, amelyek az ODATA adathozzáférési és -lekérdezési szabványait követik.

Eszközmegfelelési állapot lekérése

Visualization of the data flow checking if a device is compliant. End user devices feed threat info to a mobile threat defense partner. The devices also provide compliance policy state to Intune and an mobile device management partners. Next, the mobile threat defence partner supplies a risk assessment to the Intune cloud service. Intune and the mobile device management partner provide compliance status to the same service. Finally, the Intune cloud service provides a calculated compliance state to Azure Active Directory, which then supplies a device compliance status via the Microsoft Graph API to the ISV's solution.

Ez az ábra bemutatja, hogyan áramlik az eszköz megfelelőségi információi az eszközről az ISV-megoldásba. A végfelhasználói eszközök szabályzatokat kapnak az Intune-tól, egy mobileszköz-védelmi (MTD) partnertől vagy egy mobileszköz-kezelési (MDM) megfelelőségi partnertől. Miután összegyűjtötte a megfelelőségi információkat az eszközökről, az Intune kiszámítja az egyes eszközök és az Azure AD-ben tárolt tárolók általános megfelelőségi állapotát. A Microsoft Graph API használatával a megoldás beolvashatja és megválaszolhatja az eszközmegfelelőségi állapotot, és alkalmazhatja a zéró megbízhatóság alapelveit.

Az Intune-ban való regisztráláskor a rendszer létrehoz egy eszközrekordot az Intune-ban további eszközadatokkal, beleértve az eszközmegfelelési állapotot is. Az Intune továbbítja az eszközmegfelelési állapotot az Azure AD-nek, ahol az Azure AD az egyes eszközök megfelelőségi állapotát is tárolja. A GET https://graph.microsoft.com/v1.0/deviceManagement/managedDevices használatával megtekintheti a bérlő összes regisztrált eszközét és azok megfelelőségi állapotát. Vagy lekérdezheti https://graph.microsoft.com/v1.0/devices az Azure AD-ben regisztrált és regisztrált eszközök listáját és azok megfelelőségi állapotát.

Lásd például a következő kérelmet:

GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId} 

A következőt adja vissza:

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095

{
 "value": {
  "@odata.type": "#microsoft.graph.managedDevice",
  "id": "705c034c-034c-705c-4c03-5c704c035c70",
  "userId": "User Id value",
  "deviceName": "Device Name value",
  "managedDeviceOwnerType": "company",
  "enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
  "lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
  "complianceState": "compliant",
…
}

Lekérheti a megfelelőségi szabályzatok listáját, azok központi telepítését, valamint a megfelelőségi szabályzatok felhasználóinak és eszközeinek állapotát. Itt talál információt a Graph meghívásáról a megfelelőségi szabályzattal kapcsolatos információk lekéréséhez: DeviceCompliancePolicy lekérése – Microsoft Graph 1.0-s verzió. Az eszközmegfelelési szabályzatok és azok felhasználási módjának jó háttere itt található: Eszközmegfelelési szabályzatok a Microsoft Intune-ban – Azure.

Miután azonosított egy adott szabályzatot, lekérdezheti az eszköz állapotát egy adott megfelelőségi házirend-beállításhoz. Tegyük fel például, hogy egy megfelelőségi szabályzatot úgy telepítettek, hogy pin-kódot követeljen meg a zároláshoz, kérdezze le a get deviceComplianceSettingState lekérdezést a beállítás adott állapotáról. Ez jelzi, hogy az eszköz megfelelő-e vagy nem felel meg a PIN-kód zárolási beállításának. Ugyanez a megközelítés használható az ügyfelek által telepített egyéb eszközmegfelelési szabályzatokhoz is.

A megfelelőségi információk az Azure AD feltételes hozzáférési funkciójának alapjai. Az Intune a megfelelőségi szabályzatok alapján határozza meg az eszközmegfelelést, és beírja a megfelelőségi állapotot az Azure AD-be. Ezután az ügyfelek feltételes hozzáférési szabályzatokkal állapítják meg, hogy történt-e valamilyen művelet a meg nem felelés esetén, beleértve azt is, hogy a felhasználók nem megfelelő eszközről férhessenek hozzá a vállalati adatokhoz.

Az eszközmegfelelés feltételes hozzáféréssel való integrálásáról további információt a Microsoft Intune eszközmegfelelési szabályzataiban talál.

Kövesse a legalacsonyabb jogosultsági szintű hozzáférés elvét

Az Endpoint Managerrel integrálható független szoftverszállítóknak arról is gondoskodniuk kell, hogy az alkalmazásuk támogatja a minimális jogosultsági hozzáférés alkalmazásának megbízhatósági elvét. Az Endpoint Manager-integráció két fontos hozzáférés-vezérlési módszert támogat: delegált engedélyeket vagy alkalmazásengedélyeket. Az ISV-alkalmazásnak az egyik engedélymodellt kell használnia. A delegált engedélyek részletesen szabályozhatják azokat az objektumokat az Endpoint Managerben, amelyekhez az alkalmazásnak hozzáférése van, de egy rendszergazdának be kell jelentkeznie a hitelesítő adataival. Ezzel szemben az alkalmazásengedélyek lehetővé teszik az ISV-alkalmazás számára az adatok és objektumok osztályainak elérését vagy szabályozását adott objektumok helyett, de nem követeli meg a felhasználótól a bejelentkezést.

Az alkalmazás egy-bérlős vagy több-bérlős (előnyben részesített) alkalmazásként való létrehozása mellett deklarálnia kell az alkalmazás által az Endpoint Manager adatainak eléréséhez és az Endpoint Manageren végzett műveletek végrehajtásához szükséges delegált vagy alkalmazásengedélyeket. Az engedélyekkel kapcsolatos első lépésekről itt tekinthet meg információkat: Rövid útmutató: Alkalmazás konfigurálása webes API eléréséhez.

Következő lépések