Поделиться через

Уровни защиты и конфигурации в Microsoft Intune

  • Статья

Microsoft Intune позволяет администраторам создавать политики, применяемые к пользователям, устройствам и приложениям. Эти политики могут варьироваться от минимального набора до более безопасных или контролируемых политик. Эти политики зависят от потребностей организации, используемых устройств и того, что будут делать устройства.

Когда вы будете готовы к созданию политик, вы можете использовать различные уровни защиты и конфигурации:

Среда и бизнес-потребности могут иметь разные уровни. Вы можете использовать эти уровни в качестве отправной точки, а затем настроить их в соответствии со своими потребностями. Например, можно использовать политики конфигурации устройств на уровне 1 и политики приложений на уровне 3.

Выберите уровни, подходящие для вашей организации. Нет неправильного выбора.

Уровень 1 . Минимальная защита и конфигурация

Этот уровень включает политики, которые должны быть у каждой организации, как минимум. Политики этого уровня создают минимальный базовый уровень функций безопасности и предоставляют пользователям доступ к ресурсам, необходимым для выполнения своих задач.

Приложения (уровень 1)

Этот уровень обеспечивает разумный объем требований к защите данных и доступу, минимизируя влияние на пользователей. Этот уровень гарантирует, что приложения защищены с помощью ПИН-кода и шифруются, а также выполняют выборочные операции очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Этот уровень представляет собой конфигурацию начального уровня, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online. Он также знакомит ИТ-специалистов и пользователей с политиками защиты приложений.

На этом уровне корпорация Майкрософт рекомендует настроить следующие параметры защиты и доступа для приложений:

  • Включите базовые требования к защите данных:

    • Разрешение простой передачи данных в приложении
    • Применение базового шифрования приложений
    • Разрешить базовые функции доступа

  • Включите базовые требования к доступу:

    • Требовать ПИН-код, идентификатор лица и биометрический доступ
    • Принудительное применение поддержки основных параметров доступа

  • Включите базовый запуск условного приложения:

    • Настройка основных попыток доступа к приложению
    • Блокировка доступа к приложениям на основе устройств со снятой защитой или привилегированным доступом
    • Ограничение доступа к приложениям на основе базовой целостности устройств

Дополнительные сведения см. в разделе Базовая защита приложений уровня 1.

Соответствие требованиям (уровень 1)

На этом уровне соответствие устройств включает настройку параметров на уровне клиента, которые применяются ко всем устройствам, и развертывание минимальных политик соответствия на всех устройствах для применения основного набора требований к соответствию. Корпорация Майкрософт рекомендует использовать эти конфигурации, прежде чем разрешить устройствам доступ к ресурсам вашей организации. Соответствие устройству уровня 1 включает:

Параметры политики соответствия — это несколько параметров на уровне клиента, которые влияют на работу службы соответствия Intune с вашими устройствами.

Политики соответствия требованиям для конкретных платформ включают параметры для общих тем на разных платформах. Фактическое имя и реализация параметра могут отличаться на разных платформах:

  • Требовать антивирусную программу, антишпионское ПО и антивредоносное ПО (только Для Windows)
  • Версия операционной системы:
    • Максимальное число ОС
    • Минимальная ОС
    • Дополнительные и основные версии сборки
    • Уровни исправлений ОС
  • Конфигурации паролей
    • Принудительное применение экрана блокировки после периода бездействия, требуя пароля или пин-кода для разблокировки
    • Требовать сложные пароли с сочетаниями букв, цифр и символов
    • Требовать пароль или ПИН-код для разблокировки устройств
    • Требовать минимальную длину пароля

Действия в отношении несоответствия автоматически включаются в политику каждой платформы. Это одно или несколько упорядоченных по времени действий, которые применяются к устройствам, которые не соответствуют требованиям политики к соответствию. По умолчанию пометка устройства как несоответствующего является немедленным действием, включенным в каждую политику.

Дополнительные сведения см. в разделе Уровень 1 — минимальное соответствие устройств.

Конфигурация устройства (уровень 1)

На этом уровне профили включают параметры, ориентированные на безопасность и доступ к ресурсам. В частности, на этом уровне корпорация Майкрософт рекомендует настроить следующие функции:

  • Включите базовую безопасность, в том числе:

    • Антивирусная программа и сканирование
    • Обнаружение угроз и реагирование на нее
    • Брандмауэр
    • Обновления программного обеспечения
    • Политика надежных ПИН-кодов и паролей

  • Предоставьте пользователям доступ к сети:

    • Email
    • VPN для удаленного доступа
    • Wi-Fi для локального доступа

Дополнительные сведения об этих политиках этого уровня см. в разделе Шаг 4. Создание профилей конфигурации устройств для защиты устройств и создания подключений к ресурсам организации.

Уровень 2. Расширенная защита и конфигурация

Этот уровень расширяет минимальный набор политик, чтобы включить большую безопасность и расширить управление мобильными устройствами. Политики этого уровня обеспечивают защиту дополнительных функций, обеспечивают защиту идентификации и управляют дополнительными параметрами устройства.

Используйте параметры этого уровня, чтобы добавить то, что вы сделали на уровне 1.

Приложения (уровень 2)

На этом уровне рекомендуется стандартный уровень защиты приложений для устройств, где пользователи получают доступ к более конфиденциальной информации. На этом уровне представлены механизмы предотвращения утечки данных политики защиты приложений и минимальные требования к ОС. Этот уровень — это конфигурация, которая применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным.

В дополнение к параметрам уровня 1 корпорация Майкрософт рекомендует настроить следующие параметры защиты и доступа для приложений:

  • Включите расширенные требования к защите данных:

    • Передача данных, связанных с организацией
    • Исключение требований к передаче данных для выбранных приложений (iOS/iPadOS)
    • Передача телекоммуникационных данных
    • Ограничение вырезанной, копируемой и вставки между приложениями
    • Блокировка снимка экрана (Android)

  • Включите расширенный запуск условного приложения:

    • Блокировка отключения учетных записей приложений
    • Применение минимальных требований к ОС устройства
    • Требовать минимальную версию исправления (Android)
    • Требовать тип оценки вердикта целостности воспроизведения (Android)
    • Требовать блокировку устройства (Android)
    • Разрешить доступ к приложениям на основе повышенной целостности устройства

Дополнительные сведения см. в разделе Расширенная защита приложений уровня 2.

Соответствие требованиям (уровень 2)

На этом уровне корпорация Майкрософт рекомендует добавить более сложные параметры в политики соответствия требованиям. Многие параметры на этом уровне имеют имена, зависящие от платформы, которые обеспечивают одинаковые результаты. Ниже приведены категории или типы параметров, которые корпорация Майкрософт рекомендует использовать, когда они доступны.

  • Приложений:

    • Управление тем, где устройства получают приложения, например Google Play для Android
    • Разрешить приложения из определенных расположений
    • Блокировать приложения из неизвестных источников

  • Параметры брандмауэра

    • Параметры брандмауэра (macOS, Windows)

  • Шифрования:

    • Требование шифрования хранилища данных
    • BitLocker (Windows)
    • FileVault (macOS)

  • Пароли

    • Срок действия и повторное использование пароля

  • Защита файлов и загрузки на уровне системы:

    • Блокировка отладки USB (Android)
    • Блокировка устройств с привилегированным доступом или с отсеченной защитой (Android, iOS)
    • Требовать защиту целостности системы (macOS)
    • Требовать целостность кода (Windows)
    • Требовать включения безопасной загрузки (Windows)
    • Доверенный платформенный модуль (Windows)

Дополнительные сведения см. в разделе Уровень 2 . Улучшенные параметры соответствия устройств.

Конфигурация устройства (уровень 2)

На этом уровне вы расширяете параметры и функции, настроенные на уровне 1. Корпорация Майкрософт рекомендует создавать политики, которые:

  • Добавьте еще один уровень безопасности, включив шифрование дисков, безопасную загрузку и TPM на своих устройствах.
  • Настройте ПИН-коды & пароли для истечения срока действия и управлять тем, можно ли использовать пароли повторно.
  • Настройте более детализированные функции, параметры и поведение устройства.
  • Если у вас есть локальные объекты групповой политики, вы можете определить, доступны ли эти объекты групповой политики в Intune.

Дополнительные сведения о политиках конфигурации устройств на этом уровне см. в разделе Уровень 2 . Расширенная защита и конфигурация.

Уровень 3 . Высокий уровень защиты и конфигурация

Этот уровень включает политики корпоративного уровня и может включать различных администраторов в вашей организации. Эти политики продолжают переходить на проверку подлинности без пароля, имеют большую безопасность и настраивают специализированные устройства.

Используйте параметры этого уровня, чтобы добавить то, что вы сделали на уровнях 1 и 2.

Приложения (уровень 3)

На этом уровне рекомендуется стандартный уровень защиты приложений для устройств, где пользователи получают доступ к более конфиденциальной информации. На этом уровне представлены расширенные механизмы защиты данных, улучшенная конфигурация ПИН-кода и политика защиты приложений Mobile Threat Defense. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

В дополнение к параметрам уровня 1 и 2 корпорация Майкрософт рекомендует настроить следующие параметры защиты и доступа для приложений:

  • Включите высокие требования к защите данных:

    • Высокая защита при передаче телекоммуникационных данных
    • Получение данных только из приложений, управляемых политикой
    • Блокировка открытия данных в документах организации
    • Разрешить пользователям открывать данные из выбранных служб
    • Блокировка сторонних клавиатур
    • Требовать или выбирать утвержденные клавиатуры (Android)
    • Блокировка печати данных организации

  • Включить высокие требования к доступу:

    • Блокировать простой ПИН-код и требовать определенную минимальную длину ПИН-кода
    • Требовать сброс ПИН-кода через количество дней
    • Требовать биометрию класса 3 (Android 9.0 и более поздних версий)
    • Требовать переопределения биометрии с ПОМОЩЬЮ ПИН-кода после биометрических обновлений (Android)

  • Включение запуска приложения с высоким уровнем условности:

    • Требовать блокировку устройства (Android)
    • Требовать максимальный допустимый уровень угрозы
    • Требовать максимальную версию ОС

Дополнительные сведения см. в разделе Уровень 3 с высоким уровнем защиты приложений.

Соответствие требованиям (уровень 3)

На этом уровне вы можете расширить встроенные возможности Intune по соответствию, используя следующие возможности:

  • Интеграция данных от партнера Mobile Threat Defense (MTD)

    • При использовании партнера MTD политики соответствия требованиям могут требовать, чтобы устройства были на уровне угрозы устройства или в оценке риска компьютера, как определено этим партнером.

  • Использование стороннего партнера по соответствию требованиям в Intune

  • Используйте скрипты для добавления настраиваемых параметров соответствия в политики для параметров, недоступных в пользовательском интерфейсе Intune. (Windows, Linux)

  • Использование данных политики соответствия требованиям с политиками условного доступа для доступа к ресурсам организации

Дополнительные сведения см. в разделе Уровень 3 . Расширенные конфигурации соответствия устройств.

Конфигурация устройства (уровень 3)

Этот уровень ориентирован на службы и функции корпоративного уровня и может потребовать инвестиций в инфраструктуру. На этом уровне можно создать политики, которые:

  • Разверните проверку подлинности без пароля для других служб в организации, включая проверку подлинности на основе сертификатов, единый вход для приложений, многофакторную проверку подлинности (MFA) и VPN-шлюз Microsoft Tunnel.

  • Разверните Microsoft Tunnel, развернув Microsoft Tunnel для управления мобильными приложениями (Tunnel для MAM), который расширяет поддержку Tunnel для устройств iOS и Android, которые не зарегистрированы в Intune. Tunnel для MAM доступен в виде надстройки Intune.

    Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.

  • Настройте функции устройства, которые применяются к уровню встроенного ПО Windows. Используйте режим общих условий Android.

  • Используйте политику Intune для решения с паролем локального администратора Windows (LAPS), чтобы защитить встроенную учетную запись локального администратора на управляемых устройствах Windows.

    Дополнительные сведения см. в разделе Поддержка Intune для Windows LAPS.

  • Защитите устройства Windows с помощью управления привилегиями конечных точек (EPM), который помогает запускать пользователей организации в качестве стандартных пользователей (без прав администратора), позволяя тем же пользователям выполнять задачи, требующие повышенных привилегий.

    EPM доступен как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.

  • Настройте специализированные устройства, такие как киоски и общие устройства.

  • При необходимости разверните скрипты.

Дополнительные сведения о политиках конфигурации устройств на этом уровне см. в разделе Уровень 3 . Высокий уровень защиты и конфигурации.

Дальнейшие действия

Полный список всех профилей конфигурации устройств, которые можно создать, см. в разделе Применение функций и параметров на устройствах с помощью профилей устройств в Microsoft Intune.