Mengamankan titik akhir dengan Zero Trust

Latar belakang

Perusahaan modern memiliki keragaman titik akhir yang luar biasa mengakses data. Tidak semua titik akhir dikelola atau bahkan dimiliki oleh organisasi, yang mengarah ke konfigurasi perangkat dan tingkat patch perangkat lunak yang berbeda. Ini menciptakan permukaan serangan besar-besaran dan, jika dibiarkan tidak terselesaikan, mengakses data kerja dari titik akhir yang tidak tepercaya dapat dengan mudah menjadi tautan terlemah dalam strategi keamanan Zero Trust Anda.

Zero Trust mematuhi prinsip, "Jangan pernah percaya, selalu verifikasi." Dalam hal titik akhir, itu berarti selalu memverifikasi semua titik akhir. Itu tidak hanya mencakup perangkat kontraktor, mitra, dan tamu, tetapi juga aplikasi dan perangkat yang digunakan oleh karyawan untuk mengakses data kerja, terlepas dari kepemilikan perangkat.

Dalam pendekatan Zero Trust, kebijakan keamanan yang sama diterapkan terlepas dari apakah perangkat dimiliki perusahaan atau milik pribadi melalui bawa perangkat Anda sendiri (BYOD); apakah perangkat dikelola sepenuhnya oleh IT, atau hanya aplikasi dan data yang diamankan. Kebijakan ini berlaku untuk semua titik akhir, baik PC, Mac, smartphone, tablet, wearable, atau perangkat IoT di mana pun mereka terhubung, baik itu jaringan perusahaan yang aman, broadband rumah, atau internet publik.

Yang paling penting, kesehatan dan kepercayaan aplikasi yang berjalan pada titik akhir tersebut berdampak pada postur keamanan Anda. Anda perlu mencegah data perusahaan bocor ke aplikasi atau layanan yang tidak tepercaya atau tidak dikenal, baik secara tidak sengaja atau melalui niat jahat.

Ada beberapa aturan utama untuk mengamankan perangkat dan titik akhir dalam model Zero Trust:

  • Zero Trust kebijakan keamanan diberlakukan secara terpusat melalui cloud dan mencakup keamanan titik akhir, konfigurasi perangkat, perlindungan aplikasi, kepatuhan perangkat, dan postur risiko.

  • Platform serta aplikasi yang berjalan di perangkat disediakan dengan aman, dikonfigurasi dengan benar, dan selalu diperbarui.

  • Ada respons otomatis dan cepat untuk berisi akses ke data perusahaan dalam aplikasi jika terjadi penyusupan keamanan.

  • Sistem kontrol akses memastikan bahwa semua kontrol kebijakan berlaku sebelum data diakses.

Tujuan penyebaran Zero Trust titik akhir

Sebelum sebagian besar organisasi memulai perjalanan Zero Trust, keamanan titik akhir mereka disiapkan sebagai berikut:

  • Titik akhir bergabung dengan domain dan dikelola dengan solusi seperti objek Kebijakan Grup atau Configuration Manager. Ini adalah opsi yang bagus, tetapi tidak memanfaatkan CSP Windows 10 modern atau memerlukan appliance gateway manajemen cloud terpisah untuk melayani perangkat berbasis cloud.

  • Titik akhir harus berada di jaringan perusahaan untuk mengakses data. Ini bisa berarti bahwa perangkat diharuskan untuk secara fisik berada di lokasi untuk mengakses jaringan perusahaan, atau bahwa mereka memerlukan akses VPN, yang meningkatkan risiko bahwa perangkat yang disusupi dapat mengakses sumber daya perusahaan yang sensitif.

Saat menerapkan kerangka kerja Zero Trust end-to-end untuk mengamankan titik akhir, kami sarankan Anda fokus terlebih dahulu pada tujuan penyebaran awal ini:

List icon with one checkmark.

I.Endpoints terdaftar di idP cloud. Untuk memantau keamanan dan risiko di beberapa titik akhir yang digunakan oleh satu orang, Anda memerlukan visibilitas di semua perangkat dan titik akses yang mungkin mengakses sumber daya Anda.

II.Akses hanya diberikan ke titik akhir dan aplikasi yang dikelola cloud dan sesuai. Atur aturan kepatuhan untuk memastikan bahwa perangkat memenuhi persyaratan keamanan minimum sebelum akses diberikan. Selain itu, tetapkan aturan remediasi untuk perangkat yang tidak patuh sehingga orang tahu cara mengatasi masalah tersebut.

III.Kebijakan pencegahan kehilangan data (DLP) diberlakukan untuk perangkat perusahaan dan BYOD. Mengontrol apa yang dapat dilakukan pengguna dengan data setelah mereka memiliki akses. Misalnya, batasi penyimpanan file ke lokasi yang tidak tepercaya (seperti disk lokal), atau batasi berbagi salin dan tempel dengan aplikasi komunikasi konsumen atau aplikasi obrolan untuk melindungi data.

Setelah ini selesai, fokus pada tujuan penyebaran tambahan ini:

List icon with two checkmarks.

IV.Deteksi ancaman titik akhir digunakan untuk memantau risiko perangkat. Gunakan satu panel kaca untuk mengelola semua titik akhir dengan cara yang konsisten, dan gunakan SIEM untuk merutekan log dan transaksi titik akhir sedemikian rupa sehingga Anda mendapatkan lebih sedikit, tetapi dapat ditindakkan, pemberitahuan.

Kontrol V.Access terjaga pada risiko titik akhir untuk perangkat perusahaan dan BYOD. Integrasikan data dari Pertahanan Microsoft untuk Titik Akhir, atau vendor Mobile Threat Defense (MTD) lainnya, sebagai sumber informasi untuk kebijakan kepatuhan perangkat dan aturan Akses Bersyar perangkat. Risiko perangkat kemudian akan secara langsung memengaruhi sumber daya apa yang akan dapat diakses oleh pengguna perangkat tersebut.

Panduan penyebaran Zero Trust titik akhir

Panduan ini akan memandu Anda melalui langkah-langkah yang diperlukan untuk mengamankan perangkat Anda mengikuti prinsip-prinsip kerangka kerja keamanan Zero Trust.




Checklist icon with one checkmark.

Tujuan penyebaran awal

i. Titik akhir terdaftar di idP cloud

Untuk membantu membatasi paparan risiko, Anda perlu memantau setiap titik akhir untuk memastikan masing-masing memiliki identitas tepercaya, kebijakan keamanan diterapkan, dan tingkat risiko untuk hal-hal seperti malware atau penyelundupan data telah diukur, diperbaiki, atau dianggap dapat diterima.

Setelah perangkat terdaftar, pengguna dapat mengakses sumber daya terbatas organisasi Anda menggunakan nama pengguna dan kata sandi perusahaan mereka untuk masuk (atau Windows Hello untuk Bisnis).

Diagram of the steps within phase 1 of the initial deployment objectives.

Mendaftarkan perangkat perusahaan dengan Azure Active Directory (AD)

Ikuti langkah-langkah berikut:

Perangkat Windows 10 baru

  1. Mulai perangkat baru Anda dan mulai proses OOBE (pengalaman di luar kotak).

  2. Pada layar Masuk dengan Microsoft, ketik alamat email kantor atau sekolah Anda.

  3. Pada layar Masukkan kata sandi Anda, ketik kata sandi Anda.

  4. Di perangkat seluler, setujui perangkat Anda agar Anda dapat mengakses akun Anda.

  5. Selesaikan proses OOBE, termasuk pengaturan privasi Anda dan Windows Hello (jika perlu).

  6. Perangkat Anda sekarang terhubung dengan jaringan organisasi Anda.

Perangkat Windows 10 yang ada

  1. Buka Pengaturan, lalu pilih Akun.

  2. Pilih Akses kantor atau sekolah, lalu pilih Koneksi.

    Access work or school in Settings.

  3. Pada layar Siapkan akun kerja atau sekolah, pilih Gabungkan perangkat ini ke Azure AD.

    Set up a work or school account in Settings.

  4. Pada layar Mari kita masuk, ketik alamat email Anda (misalnya,alain@contoso.com), lalu pilih Berikutnya.

  5. Pada layar Masukkan kata sandi, ketik kata sandi Anda, lalu pilih Masuk.

  6. Pada perangkat seluler Anda, setujui perangkat Anda agar Anda dapat mengakses akun Anda.

  7. Pada layar Pastikan ini adalah organisasi Anda , tinjau informasi untuk memastikannya benar, lalu pilih Gabung.

  8. Pada layar Anda telah siap, klik Selesai.

Mendaftarkan perangkat Windows pribadi dengan Azure AD

Ikuti langkah-langkah berikut:

  1. Buka Pengaturan, lalu pilih Akun.

  2. Pilih Akses kerja atau sekolah, lalu pilih Sambungkan dari layar Akses kerja atau sekolah.

    Access work or school in Settings.

  3. Pada layar Tambahkan akun kerja atau sekolah, ketik alamat email Anda untuk akun kerja atau sekolah Anda, lalu pilih Berikutnya. Contohnya:alain@contoso.com

  4. Masuk ke akun kerja atau sekolah Anda, lalu pilih Masuk.

  5. Selesaikan sisa proses pendaftaran, termasuk menyetujui permintaan verifikasi identitas Anda (jika Anda menggunakan verifikasi dua langkah) dan siapkan Windows Hello (jika perlu).

Mengaktifkan dan mengonfigurasi Windows Hello untuk Bisnis

Untuk mengizinkan pengguna metode masuk alternatif yang menggantikan kata sandi, seperti PIN, autentikasi biometrik, atau pembaca sidik jari, aktifkan Windows Hello untuk Bisnis pada perangkat Windows 10 pengguna.

Tindakan Microsoft Intune dan Azure AD berikut diselesaikan di pusat admin Microsoft Endpoint Manager:

Mulailah dengan membuat kebijakan pendaftaran Windows Hello untuk Bisnis di Microsoft Intune.

  1. Buka Perangkat > Pendaftaran Pendaftaran perangkat > Windows Windows Hello untuk Bisnis pendaftaran >>.

    Windows Hello for Business in Microsoft Intune.

  2. Pilih dari opsi berikut untuk Mengonfigurasi Windows Hello untuk Bisnis:

    1. Nonaktif. Jika Anda tidak ingin menggunakan Windows Hello untuk Bisnis, pilih pengaturan ini. Jika dinonaktifkan, pengguna tidak dapat menyediakan Windows Hello untuk Bisnis kecuali pada ponsel yang bergabung Azure AD di mana provisi mungkin diperlukan.

    2. Aktif. Pilih pengaturan ini jika Anda ingin mengonfigurasi pengaturan Windows Hello untuk Bisnis. Saat Anda memilih Diaktifkan, pengaturan tambahan untuk Windows Hello menjadi terlihat.

    3. Tidak dikonfigurasi. Pilih pengaturan ini jika Anda tidak ingin menggunakan Intune untuk mengontrol pengaturan Windows Hello untuk Bisnis. Pengaturan Windows Hello untuk Bisnis yang ada di perangkat Windows 10 tidak diubah. Semua pengaturan lain di panel tidak tersedia.

Jika Anda memilih Diaktifkan, konfigurasikan pengaturan yang diperlukan yang diterapkan ke semua perangkat Windows 10 terdaftar dan perangkat seluler Windows 10.

  1. Gunakan Modul Platform Tepercaya (TPM). Chip TPM menyediakan lapisan keamanan data tambahan. Pilih salah satu nilai berikut:

    1. Wajib Diisi. Hanya perangkat dengan TPM yang dapat diakses yang dapat menyediakan Windows Hello untuk Bisnis.

    2. Lebih disukai. Perangkat pertama kali mencoba menggunakan TPM. Jika opsi ini tidak tersedia, mereka dapat menggunakan enkripsi perangkat lunak.

  2. Atur panjang PIN minimum dan panjang PIN Maksimum. Ini mengonfigurasi perangkat untuk menggunakan panjang PIN minimum dan maksimum yang Anda tentukan untuk membantu memastikan rincian masuk yang aman. Panjang PIN default adalah enam karakter, tetapi Anda dapat memberlakukan panjang minimum empat karakter. Panjang PIN maksimum adalah 127 karakter.

  3. Atur kedaluwarsa PIN (hari). Ada baiknya menentukan periode kedaluwarsa untuk PIN, setelah itu pengguna harus mengubahnya. Defaultnya adalah 41 hari.

  4. Ingat riwayat PIN. Membatasi penggunaan kembali VPN yang digunakan sebelumnya. Secara default, 5 PIN terakhir tidak dapat digunakan kembali.

  5. Gunakan anti-spoofing yang ditingkatkan, jika tersedia. Ini mengonfigurasi kapan fitur anti-spoofing Windows Hello digunakan pada perangkat yang mendukungnya. Misalnya, mendeteksi foto wajah, bukan wajah asli.

  6. Izinkan masuk melalui telepon. Jika opsi ini diatur ke Ya, pengguna dapat menggunakan paspor jarak jauh untuk berfungsi sebagai perangkat pendamping portabel untuk autentikasi komputer desktop. Komputer desktop harus Azure AD bergabung, dan perangkat pendamping harus dikonfigurasi dengan PIN Windows Hello untuk Bisnis.

Setelah Anda mengonfigurasi pengaturan ini, pilih Simpan.

Setelah mengonfigurasi pengaturan yang berlaku untuk semua perangkat Windows 10 terdaftar dan perangkat seluler Windows 10, siapkan profil Windows Hello untuk Bisnis Identity Protection untuk menyesuaikan pengaturan keamanan Windows Hello untuk Bisnis untuk perangkat pengguna akhir tertentu.

  1. Pilih Profil > Konfigurasi Perangkat > Buat profil > Windows 10 dan Perlindungan Identitas Selanjutnya>.

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. Konfigurasikan Windows Hello untuk Bisnis. Pilih bagaimana Anda ingin mengonfigurasi Windows Hello untuk Bisnis.

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. Panjang PIN minimum.

    2. Huruf kecil dalam PIN.

    3. Huruf besar dalam PIN.

    4. Karakter khusus dalam PIN.

    5. Kedaluwarsa PIN (hari).

    6. Ingat riwayat PIN.

    7. Aktifkan pemulihan PIN. Memungkinkan pengguna untuk menggunakan layanan pemulihan PIN Windows Hello untuk Bisnis.

    8. Gunakan Modul Platform Tepercaya (TPM). Chip TPM menyediakan lapisan keamanan data tambahan.

    9. Izinkan autentikasi biometrik. Mengaktifkan autentikasi biometrik, seperti pengenalan wajah atau sidik jari, sebagai alternatif untuk PIN untuk Windows Hello untuk Bisnis. Pengguna masih harus mengonfigurasi PIN jika autentikasi biometrik gagal.

    10. Gunakan anti-spoofing yang ditingkatkan, jika tersedia. Mengonfigurasi kapan fitur anti-spoofing Windows Hello digunakan pada perangkat yang mendukungnya (misalnya, mendeteksi foto wajah, bukan wajah asli).

    11. Gunakan kunci keamanan untuk masuk. Pengaturan ini tersedia untuk perangkat yang menjalankan Windows 10 versi 1903 atau yang lebih baru. Gunakan untuk mengelola dukungan untuk menggunakan kunci keamanan Windows Hello untuk masuk.

Terakhir, Anda dapat membuat kebijakan pembatasan perangkat tambahan untuk mengunci perangkat milik perusahaan lebih lanjut.

II. Akses hanya diberikan ke titik akhir dan aplikasi yang dikelola cloud dan sesuai

Setelah Anda memiliki identitas untuk semua titik akhir yang mengakses sumber daya perusahaan dan sebelum akses diberikan, Anda ingin memastikan bahwa mereka memenuhi persyaratan keamanan minimum yang ditetapkan oleh organisasi Anda.

Setelah menetapkan kebijakan kepatuhan untuk gerbang akses sumber daya perusahaan ke titik akhir tepercaya dan aplikasi seluler dan desktop, semua pengguna dapat mengakses data organisasi di perangkat seluler dan versi sistem operasi minimum atau maksimum diinstal di semua perangkat. Perangkat tidak rusak dipenjara atau berakar.

Selain itu, tetapkan aturan remediasi untuk perangkat yang tidak patuh, seperti memblokir perangkat yang tidak patuh atau menawarkan masa tenggang kepada pengguna untuk mematuhinya.

Diagram of the steps within phase 2 of the initial deployment objectives.

Membuat kebijakan kepatuhan dengan Microsoft Intune (semua platform)

Ikuti langkah-langkah berikut untuk membuat kebijakan kepatuhan:

  1. Pilih Kebijakan > Kepatuhan > Perangkat > Buat Kebijakan.

  2. Pilih Platform untuk kebijakan ini (Windows 10 digunakan misalnya di bawah).

  3. Pilih konfigurasi Device Health yang diinginkan.

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. Mengonfigurasi Properti Perangkat minimum atau maksimum.

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. Mengonfigurasi Kepatuhan Configuration Manager. Ini mengharuskan semua evaluasi kepatuhan dalam Configuration Manager patuh dan hanya berlaku untuk perangkat Windows 10 yang dikomanase. Semua perangkat khusus Intune akan mengembalikan N/A.

  6. Mengonfigurasi Pengaturan Keamanan Sistem.

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. Mengonfigurasi Microsoft Defender Antimalware.

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. Konfigurasikan skor risiko komputer Pertahanan Microsoft untuk Titik Akhir yang diperlukan.

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. Pada tab Tindakan untuk ketidakpatuhan, tentukan urutan tindakan yang akan diterapkan secara otomatis ke perangkat yang tidak memenuhi kebijakan kepatuhan ini.

    Screenshot of Actions for noncompliance in compliance policy settings.

Mengotomatiskan email pemberitahuan dan menambahkan tindakan remediasi tambahan untuk perangkat yang tidak patuh di Intune (semua platform)

Saat titik akhir atau aplikasi mereka menjadi tidak patuh, pengguna dipandu melalui remediasi mandiri. Pemberitahuan secara otomatis dibuat dengan alarm tambahan dan tindakan otomatis yang ditetapkan untuk ambang tertentu. Anda dapat mengatur tindakan remediasi ketidakpatuhan .

Ambil langkah-langkah berikut:

  1. Pilih Pemberitahuan > Kebijakan > Kepatuhan Perangkat > Membuat pemberitahuan.

  2. Buat templat pesan pemberitahuan.

    Screenshot of Create notification in compliance policy settings.

  3. Pilih Kebijakan Kepatuhan > Perangkat>, pilih salah satu kebijakan Anda, lalu pilih Properti.

  4. Pilih Tindakan untuk Penambahan ketidakpatuhan>.

  5. Tambahkan tindakan untuk ketidakpatuhan:

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. Siapkan email otomatis kepada pengguna dengan perangkat yang tidak patuh.

    2. Siapkan tindakan untuk mengunci perangkat yang tidak patuh dari jarak jauh.

    3. Siapkan tindakan untuk secara otomatis menghentikan perangkat yang tidak patuh setelah sejumlah hari yang ditetapkan.

III. Kebijakan pencegahan kehilangan data (DLP) diberlakukan untuk perangkat perusahaan dan BYOD

Setelah akses data diberikan, Anda ingin mengontrol apa yang dapat dilakukan pengguna dengan data. Misalnya, jika pengguna mengakses dokumen dengan identitas perusahaan, Anda ingin mencegah dokumen tersebut disimpan di lokasi penyimpanan konsumen yang tidak terlindungi, atau dibagikan dengan komunikasi konsumen atau aplikasi obrolan.

Diagram of the steps within phase 3 of the initial deployment objectives.

Pertama, terapkan pengaturan keamanan yang direkomendasikan oleh Microsoft untuk Windows 10 perangkat guna melindungi data perusahaan (Memerlukan Windows 10 1809 dan yang lebih baru):

Gunakan garis besar keamanan Intune untuk membantu Anda mengamankan dan melindungi pengguna dan perangkat Anda. Garis besar keamanan adalah grup pengaturan Windows yang telah dikonfigurasi sebelumnya yang membantu Anda menerapkan sekelompok pengaturan yang diketahui dan nilai default yang direkomendasikan oleh tim keamanan yang relevan.

Ikuti langkah-langkah berikut:

  1. Pilih Garis besar Keamanan keamanan > titik akhir untuk melihat daftar garis besar yang tersedia.

  2. Pilih garis besar yang ingin Anda gunakan, lalu pilih Buat profil.

  3. Pada tab Pengaturan konfigurasi, lihat grup Pengaturan yang tersedia di garis besar yang Anda pilih. Anda dapat memperluas grup untuk melihat pengaturan dalam grup tersebut dan nilai default untuk pengaturan tersebut di garis besar. Untuk menemukan pengaturan tertentu:

    1. Pilih grup untuk memperluas dan meninjau pengaturan yang tersedia.

    2. Gunakan bilah Pencarian dan tentukan kata kunci yang memfilter tampilan untuk menampilkan hanya grup yang berisi kriteria pencarian Anda.

    3. Konfigurasi ulang pengaturan default untuk memenuhi kebutuhan bisnis Anda.

      Screenshot of Application Management settings in Create Profile.

  4. Pada tab Penugasan, pilih grup untuk disertakan lalu tetapkan garis besar ke satu atau beberapa grup. Untuk menyempurnakan penugasan, gunakan Pilih grup untuk mengecualikan.

Pastikan pembaruan disebarkan secara otomatis ke titik akhir

Mengonfigurasi perangkat Windows 10

Konfigurasikan Windows Update for Business untuk menyederhanakan pengalaman manajemen pembaruan bagi pengguna dan memastikan bahwa perangkat diperbarui secara otomatis untuk memenuhi tingkat kepatuhan yang diperlukan.

Ikuti langkah-langkah berikut:

  1. Kelola pembaruan perangkat lunak Windows 10 di Intune dengan membuat cincin pembaruan dan mengaktifkan kumpulan pengaturan yang mengonfigurasi kapan pembaruan Windows 10 akan diinstal.

    1. Pilih Perangkat > Windows > Windows 10 Perbarui Cincin > Buat.

    2. Di bawah Perbarui pengaturan cincin, konfigurasikan pengaturan untuk kebutuhan bisnis Anda.

      Screenshot of Update settings and User experience settings.

    3. Di bawah Penugasan, pilih + Pilih grup untuk disertakan, lalu tetapkan cincin pembaruan ke satu atau beberapa grup. Untuk menyempurnakan penugasan, gunakan + Pilih grup untuk mengecualikan.

  2. Kelola pembaruan fitur Windows 10 di Intune untuk membawa perangkat ke versi Windows yang Anda tentukan (yaitu, 1803 atau 1809) dan bekukan set fitur pada perangkat tersebut hingga Anda memilih untuk memperbaruinya ke versi Windows yang lebih baru.

    1. Pilih Perangkat > Windows > Windows 10 Pembaruan > fitur Buat.

    2. Di bawah Dasar, tentukan nama, deskripsi (opsional), dan, agar Pembaruan fitur disebarkan, pilih versi Windows dengan set fitur yang Anda inginkan, lalu pilih Berikutnya.

    3. Di bawah Penugasan, pilih dan pilih grup untuk disertakan lalu tetapkan penyebaran pembaruan fitur ke satu atau beberapa grup.

Mengonfigurasi perangkat iOS

Untuk perangkat yang terdaftar di perusahaan, konfigurasikan pembaruan iOS untuk menyederhanakan pengalaman manajemen pembaruan bagi pengguna dan pastikan bahwa perangkat diperbarui secara otomatis untuk memenuhi tingkat kepatuhan yang diperlukan. Mengonfigurasi kebijakan pembaruan iOS.

Ikuti langkah-langkah berikut:

  1. Pilih Kebijakan Pembaruan Perangkat > untuk profil Buat iOS/iPadOS > .

  2. Pada tab Dasar, tentukan nama untuk kebijakan ini, tentukan deskripsi (opsional), lalu pilih Berikutnya.

  3. Pada tab Perbarui pengaturan kebijakan, konfigurasikan hal berikut ini:

    1. Pilih versi yang akan diinstal. Anda dapat memilih dari:

      1. Pembaruan terbaru: Ini menyebarkan pembaruan terbaru yang dirilis untuk iOS/iPadOS.

      2. Versi sebelumnya yang tersedia di kotak dropdown. Jika Anda memilih versi sebelumnya, Anda juga harus menyebarkan kebijakan konfigurasi perangkat untuk menunda visibilitas pembaruan perangkat lunak.

    2. Jenis jadwal: Mengonfigurasi jadwal untuk kebijakan ini:

      1. Perbarui pada check-in berikutnya. Pembaruan diinstal pada perangkat saat berikutnya memeriksa dengan Intune. Ini adalah opsi paling sederhana dan tidak memiliki konfigurasi tambahan.

      2. Perbarui selama waktu yang dijadwalkan. Anda mengonfigurasi satu atau beberapa jendela waktu di mana pembaruan akan diinstal pada saat check-in.

      3. Perbarui di luar waktu terjadwal. Anda mengonfigurasi satu atau beberapa jendela waktu di mana pembaruan tidak akan diinstal pada saat check-in.

    3. Jadwal mingguan: Jika Anda memilih jenis jadwal selain pembaruan pada check-in berikutnya, konfigurasikan opsi berikut:

      Screenshot of Update policy settings in Create profile.

  4. Pilih zona waktu.

  5. Tentukan jendela waktu. Tentukan satu atau beberapa blok waktu yang membatasi saat pembaruan diinstal. Opsi termasuk hari mulai, waktu mulai, hari akhir, dan waktu akhir. Dengan menggunakan hari mulai dan hari akhir, blok semalam didukung. Jika Anda tidak mengonfigurasi waktu untuk memulai atau mengakhiri, konfigurasi tidak menghasilkan batasan dan pembaruan dapat diinstal kapan saja.

Pastikan perangkat dienkripsi

Mengonfigurasi Bitlocker untuk mengenkripsi perangkat Windows 10

  1. Pilih Profil > Konfigurasi Perangkat > Buat profil.

  2. Lihat opsi berikut:

    1. Platform: Windows 10 atau lebih baru

    2. Jenis profil: Perlindungan titik akhir

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. Pilih Enkripsi Windows Pengaturan>.

    Screenshot of Endpoint protection in Create profile.

  4. Konfigurasikan pengaturan untuk BitLocker untuk memenuhi kebutuhan bisnis Anda, lalu pilih OK.

Mengonfigurasi enkripsi FileVault di perangkat macOS

  1. Pilih Profil > Konfigurasi Perangkat > Buat profil.

  2. Lihat opsi berikut:

    1. Platform: macOS.

    2. Jenis profil: Perlindungan titik akhir.

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. Pilih Pengaturan > FileVault.

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. Untuk FileVault, pilih Aktifkan.

  5. Untuk Jenis kunci pemulihan, hanya Kunci pribadi yang didukung.

  6. Konfigurasikan pengaturan FileVault yang tersisa untuk memenuhi kebutuhan bisnis Anda, lalu pilih OK.

Membuat kebijakan perlindungan aplikasi untuk melindungi data perusahaan di tingkat aplikasi

Untuk memastikan data Anda tetap aman atau terkandung dalam aplikasi terkelola, buat kebijakan perlindungan aplikasi (APP). Kebijakan dapat berupa aturan yang diterapkan saat pengguna mencoba mengakses atau memindahkan data "perusahaan", atau serangkaian tindakan yang dilarang atau dipantau saat pengguna berada di dalam aplikasi.

Kerangka kerja perlindungan data APP diatur ke dalam tiga tingkat konfigurasi yang berbeda, dengan setiap tingkat dibangun dari tingkat sebelumnya:

  • Perlindungan data dasar perusahaan (Tingkat 1) memastikan bahwa aplikasi dilindungi dengan PIN dan dienkripsi, dan melakukan operasi penghapusan selektif. Untuk perangkat Android, level ini memvalidasi pengesahan perangkat Android. Ini adalah konfigurasi tingkat pemula yang menyediakan kontrol perlindungan data serupa dalam kebijakan kotak surat Exchange Online dan memperkenalkan TI dan populasi pengguna ke APP.

  • Perlindungan data yang ditingkatkan perusahaan (Tingkat 2) memperkenalkan mekanisme pencegahan kebocoran data APP dan persyaratan OS minimum. Ini adalah konfigurasi yang berlaku untuk sebagian besar pengguna seluler yang mengakses data kantor atau sekolah.

  • Perlindungan data tinggi perusahaan (Tingkat 3) memperkenalkan mekanisme perlindungan data tingkat lanjut, konfigurasi PIN yang ditingkatkan, dan App Mobile Threat Defense. Konfigurasi ini diinginkan untuk pengguna yang mengakses data berisiko tinggi.

Ikuti langkah-langkah berikut:

  1. Di portal Intune, pilih Aplikasi>Perlindungan aplikasi kebijakan. Pilihan ini membuka detail kebijakan Perlindungan aplikasi, tempat Anda membuat kebijakan baru dan mengedit kebijakan yang sudah ada.

  2. Pilih Buat kebijakan dan pilih iOS/iPadOS atau Android. Panel Buat kebijakan ditampilkan.

  3. Pilih aplikasi yang ingin Anda terapkan Kebijakan Perlindungan Aplikasinya.

  4. Mengonfigurasi Pengaturan Perlindungan Data:

    1. Perlindungan data iOS/iPadOS. Untuk informasi, lihat pengaturan kebijakan perlindungan aplikasi iOS/iPadOS - Perlindungan data.

    2. Perlindungan data Android. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi Android - Perlindungan data.

  5. Mengonfigurasi Pengaturan Persyaratan Akses:

    1. Persyaratan akses iOS/iPadOS. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi iOS/iPadOS - Persyaratan akses.

    2. Persyaratan akses Android. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi Android - Persyaratan akses.

  6. Mengonfigurasi Pengaturan Peluncuran Bersyar:

    1. Peluncuran bersyar iOS/iPadOS. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi iOS/iPadOS - Peluncuran bersyarah.

    2. Peluncuran bersyarkala Android. Untuk informasi, lihat Pengaturan kebijakan perlindungan aplikasi Android - Peluncuran bersyar.

  7. Klik Berikutnya untuk menampilkan halaman Penugasan .

  8. Setelah selesai, klik Buat untuk membuat kebijakan perlindungan aplikasi di Intune.




Checklist icon with two checkmarks.

Tujuan penyebaran tambahan

IV. Deteksi ancaman titik akhir digunakan untuk memantau risiko perangkat

Setelah Anda mencapai tiga tujuan pertama, langkah selanjutnya adalah mengonfigurasi keamanan titik akhir sehingga perlindungan tingkat lanjut disediakan, diaktifkan, dan dipantau. Satu panel kaca digunakan untuk mengelola semua titik akhir secara konsisten bersama-sama.

Merutekan log dan transaksi titik akhir ke SIEM atau Power BI

Menggunakan gudang data Intune, kirim data manajemen perangkat dan aplikasi ke pelaporan atau alat SIEM untuk pemfilteran pemberitahuan cerdas untuk mengurangi kebisingan.

Ikuti langkah-langkah berikut:

  1. Pilih Laporan > Intune Gudang data > Gudang data.

  2. Salin URL umpan kustom. Misalnya: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Buka Power BI Desktop atau solusi SIEM Anda.

Dari solusi SIEM Anda

Pilih opsi untuk mengimpor atau mendapatkan data dari umpan Odata.

Dari PowerBI

  1. Dari menu, pilih File > Dapatkan Data > umpan OData.

  2. Tempelkan URL umpan kustom yang Anda salin dari langkah sebelumnya ke dalam kotak URL di jendela umpan OData.

  3. Pilih Dasar.

  4. PilihOK.

  5. Pilih Akun organisasi, lalu masuk dengan kredensial Intune Anda.

    Screenshot of OData feed setting in Organizational account.

  6. Pilih Sambungkan. Navigator akan membuka dan menunjukkan daftar tabel di Intune Gudang Data.

  7. Pilih perangkat dan tabel ownerTypes. Pilih Muat. Power BI memuat data ke model.

  8. Membuat hubungan. Anda dapat mengimpor beberapa tabel untuk menganalisis bukan hanya data dalam satu tabel, tetapi data terkait di seluruh tabel. Power BI memiliki fitur yang disebut autodetect yang mencoba menemukan dan membuat hubungan untuk Anda. Tabel di Gudang Data telah dibuat untuk bekerja dengan fitur autodetect di Power BI. Namun, meskipun Power BI tidak menemukan hubungan secara otomatis, Anda masih dapat mengelola hubungan.

  9. Pilih Kelola Hubungan.

  10. Pilih Deteksi Otomatis jika Power BI belum mendeteksi hubungan.

  11. Pelajari cara tingkat lanjut untuk menyiapkan visualisasi PowerBI.

V. Kontrol akses terjaga pada risiko titik akhir untuk perangkat perusahaan dan BYOD

Perangkat perusahaan terdaftar dengan layanan pendaftaran cloud seperti DEP, Android Enterprise, atau Windows AutoPilot

Membangun dan memelihara citra sistem operasi yang disesuaikan adalah proses yang memakan waktu, dan dapat mencakup menghabiskan waktu menerapkan gambar sistem operasi kustom ke perangkat baru untuk mempersiapkannya untuk digunakan.

  • Dengan Microsoft Intune layanan pendaftaran cloud, Anda dapat memberikan perangkat baru kepada pengguna Anda tanpa perlu membangun, memelihara, dan menerapkan gambar sistem operasi kustom ke perangkat.

  • Windows Autopilot adalah kumpulan teknologi yang digunakan untuk menyiapkan dan mengonfigurasi perangkat baru sebelumnya, menyiapkannya untuk penggunaan produktif. Anda juga dapat menggunakan Windows Autopilot untuk mengatur ulang, menggunakan ulang, dan memulihkan perangkat.

  • Konfigurasikan Windows Autopilot untuk mengotomatiskan Azure AD Bergabung dan mendaftarkan perangkat milik perusahaan baru ke Intune.

  • Konfigurasikan DEP Apple untuk mendaftarkan perangkat iOS dan iPadOS secara otomatis.

Produk yang tercakup dalam panduan ini

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (termasuk Microsoft Intune dan Configuration Manager)

Pertahanan Microsoft untuk Titik Akhir

BitLocker

Kesimpulan

Pendekatan Zero Trust dapat secara signifikan memperkuat postur keamanan perangkat dan titik akhir Anda. Untuk informasi lebih lanjut atau bantuan terkait implementasi, silakan hubungi tim Customer Success Anda, atau lanjutkan membaca bab lain dari panduan ini yang mencakup semua pilar Zero Trust.



Seri panduan penyebaran Zero Trust

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration