Защита конечных точек с помощью функции "Никому не доверяй"

Фон

Современное предприятие обладает разнообразным разнообразием конечных точек, которые имеют доступ к данным. Не все конечные точки управляются или даже принадлежат организации, что приводит к различным конфигурациям устройств и уровням исправлений программного обеспечения. Это создает массовую поверхность атаки, и, если оставить неразрешенный, доступ к рабочим данным из недоверенных конечных точек может легко стать самым слабым звеном в стратегии безопасности "Никому не доверяй".

Функция "Никому не доверяй" соответствует принципу "Никогда не доверяй, всегда проверяй". С точки зрения конечных точек это означает, что всегда проверяйте все конечные точки. Это относится не только к подрядчику, партнеру и гостевым устройствам, но и к приложениям и устройствам, используемым сотрудниками для доступа к рабочим данным, независимо от владельца устройства.

При использовании подхода "Никому не доверяй" одинаковые политики безопасности применяются независимо от того, является ли устройство корпоративным или личным через использование собственного устройства (BYOD); Определяет, полностью ли устройство управляется ИТ-службами или только приложения и данные защищены. Политики применяются ко всем конечным точкам, будь то ПК, Mac, смартфон, планшет, носимый или IoT-устройство, где бы они ни были подключены, будь то безопасная корпоративная сеть, широкополосный доступ к домам или общедоступный Интернет.

Самое главное, работоспособность и надежность приложений, которые выполняются на этих конечных точках, влияет на состояние безопасности. Необходимо предотвратить утечку корпоративных данных в ненадежные или неизвестные приложения или службы случайно или с помощью вредоносных намерений.

Существует несколько ключевых правил для защиты устройств и конечных точек в модели "Никому не доверяй":

  • Политики безопасности "Никому не доверяй" централизованно применяются в облаке и охватывают безопасность конечных точек, конфигурацию устройств, защиту приложений, соответствие устройств требованиям и уровень риска.

  • Платформа, а также приложения, которые выполняются на устройствах, безопасно подготавливаются, правильно настраиваются и поддерживаются в актуальном состоянии.

  • В случае нарушения безопасности существует автоматический ответ и запрос на доступ к корпоративным данным в приложениях.

  • Система управления доступом гарантирует, что все элементы управления политикой будут действовать перед доступом к данным.

Цели развертывания конечной точки "Никому не доверяй"

Прежде чем большинство организаций начнет путь "Никому не доверяй", их безопасность конечных точек будет настроена следующим образом:

  • Конечные точки присоединены к домену и управляются с помощью таких решений, как групповая политика объектов или Configuration Manager. Это отличные варианты, но они не используют современные Windows 10 CSP или требуют отдельного устройства шлюза управления облачными клиентами для обслуживания облачных устройств.

  • Конечные точки должны быть в корпоративной сети для доступа к данным. Это может означать, что устройства должны физически быть на локальном компьютере для доступа к корпоративной сети или что им требуется доступ через VPN, что повышает риск того, что скомпрометированные устройства могут получить доступ к конфиденциальным корпоративным ресурсам.

При реализации сквозной платформы "Никому не доверяй" для защиты конечных точек рекомендуется сначала сосредоточиться на следующих начальных задачах развертывания:

List icon with one checkmark.

Конечныеточки I.Endpoint регистрируются в облачных поставщиках удостоверений. Чтобы отслеживать безопасность и риски в нескольких конечных точках, используемых одним пользователем, необходимо иметь видимость на всех устройствах и точках доступа, которые могут получать доступ к ресурсам.

II.Доступ предоставляется только управляемым облаком и совместимым конечным точкам и приложениям. Задайте правила соответствия, чтобы убедиться, что устройства соответствуют минимальным требованиям безопасности перед предоставлением доступа. Кроме того, задайте правила исправления для несоответствующих устройств, чтобы люди знали, как устранить проблему.

III.Политики защиты от потери данных (DLP) применяются для корпоративных устройств и BYOD. Управление действиями пользователя с данными после получения доступа. Например, ограничьте сохранение файлов недоверенными расположениями (например, локальным диском) или ограничьте совместное использование копирования и вставки с приложением для взаимодействия с потребителем или приложением чата для защиты данных.

После завершения этих действий сосредоточьте внимание на следующих дополнительных задачах развертывания:

List icon with two checkmarks.

IV.Обнаружение угроз конечной точки используется для отслеживания рисков устройства. Используйте единую панель мониторинга для согласованного управления всеми конечными точками и siEM для маршрутизации журналов и транзакций конечных точек таким образом, чтобы вы получаете меньше, но интерактивных оповещений.

Управление V.Access зависит от риска конечной точки как для корпоративных устройств, так и для BYOD. Интегрируйте данные Microsoft Defender для конечной точки или других поставщиков Mobile Threat Defense (MTD) в качестве источника информации для политик соответствия устройств и правил условного доступа устройств. Риск устройства напрямую повлияет на ресурсы, которые будут доступны пользователю этого устройства.

Руководство по развертыванию конечной точки "Никому не доверяй"

В этом руководстве описаны действия, необходимые для защиты устройств на основе принципов платформы безопасности "Никому не доверяй".




Checklist icon with one checkmark.

Начальные цели развертывания

Я. Конечные точки регистрируются в поставщике облачных удостоверений

Чтобы ограничить риск, необходимо отслеживать каждую конечную точку, чтобы убедиться, что у каждой из них есть доверенное удостоверение, применяются политики безопасности, а уровень риска для таких вещей, как вредоносные программы или кража данных, был измерен, исправлен или признан приемлемым.

После регистрации устройства пользователи могут получить доступ к ресурсам с ограниченным доступом организации, используя корпоративные имя пользователя и пароль для входа (или Windows Hello для бизнеса).

Diagram of the steps within phase 1 of the initial deployment objectives.

Регистрация корпоративных устройств с Azure Active Directory (AD)

Выполните следующие действия.

Новые Windows 10 устройств

  1. Запустите новое устройство и начните процесс запуска при первом включении (при первом включении).

  2. На экране входа с помощью Microsoft введите рабочий или учебный адрес электронной почты.

  3. На экране ввода пароля введите пароль.

  4. На мобильном устройстве утвердите устройство, чтобы оно было иметь доступ к вашей учетной записи.

  5. Завершите процесс запуска при первом включении, включая настройку параметров конфиденциальности и настройку Windows Hello (при необходимости).

  6. Теперь устройство присоединено к сети вашей организации.

Существующие Windows 10 устройств

  1. Откройте Параметры и выберите "Учетные записи".

  2. Выберите "Доступ к рабочей или учебной учетной записи", а затем выберите Подключение.

    Access work or school in Settings.

  3. На экране "Настройка рабочей или учебной учетной записи" выберите " Присоединить это устройство к Azure AD".

    Set up a work or school account in Settings.

  4. На экране "Давайте выполним вход" введите свой адрес электронной почты (например, alain@contoso.com) и нажмите кнопку "Далее".

  5. На экране ввода пароля введите пароль и нажмите кнопку "Войти".

  6. На мобильном устройстве утвердите устройство, чтобы оно было иметь доступ к вашей учетной записи.

  7. На экране "Убедитесь, что это ваша организация", просмотрите сведения, чтобы убедиться, что она права, и нажмите кнопку "Присоединиться".

  8. На экране "Все готово" нажмите кнопку " Готово".

Регистрация личных Windows устройств в Azure AD

Выполните следующие действия.

  1. Откройте Параметры и выберите "Учетные записи".

  2. Выберите "Доступ к рабочей или учебной учетной записи", а затем Подключение на рабочем или учебном экране Access.

    Access work or school in Settings.

  3. На экране "Добавление рабочей или учебной учетной записи" введите свой адрес электронной почты для рабочей или учебной учетной записи, а затем нажмите кнопку "Далее". Например, alain@contoso.com.

  4. Войдите в рабочую или учебную учетную запись, а затем выберите "Войти".

  5. Завершите остальной процесс регистрации, включая утверждение запроса на проверку удостоверения (если используется двухфакторная проверка подлинности) и настройку Windows Hello (при необходимости).

Включение и настройка Windows Hello для бизнеса

Чтобы разрешить пользователям альтернативный метод входа, заменяющий пароль, например ПИН-код, биометрическую проверку подлинности или средство чтения отпечатков пальцев, Windows Hello для бизнеса на устройствах Windows 10 пользователей.

Следующие Microsoft Intune и Azure AD выполняются в центре Microsoft Endpoint Manager администрирования.

Начните с создания Windows Hello для бизнеса регистрации в Microsoft Intune.

  1. Перейдите к устройствам > регистрации > устройств Windows > регистрации Windows Hello для бизнеса > .

    Windows Hello for Business in Microsoft Intune.

  2. Выберите один из следующих параметров для настройки Windows Hello для бизнеса:

    1. Отключен. Если вы не хотите использовать Windows Hello для бизнеса, выберите этот параметр. Если этот параметр отключен, пользователи не могут Windows Hello для бизнеса только на мобильных телефонах, присоединенных к Azure AD, где может потребоваться подготовка.

    2. Включен. Выберите этот параметр, если вы хотите настроить Windows Hello для бизнеса параметров. При выборе параметра "Включено" дополнительные Windows Hello становятся видимыми.

    3. Не настроено. Выберите этот параметр, если вы не хотите использовать Intune для управления Windows Hello для бизнеса параметрами. Все существующие Windows Hello для бизнеса на Windows 10 устройствах не изменяются. Все остальные параметры на панели недоступны.

Если выбран параметр "Включено", настройте необходимые параметры, которые применяются ко всем зарегистрированным Windows 10 и Windows 10 мобильным устройствам.

  1. Использование доверенного платформенного модуля (TPM). Микросхема доверенного платформенного модуля обеспечивает дополнительный уровень безопасности данных. Выберите одно из следующих значений:

    1. Обязательный параметр. Только устройства с доступным TPM могут подготавливать Windows Hello для бизнеса.

    2. Предпочтительный вариант. Устройства сначала пытаются использовать TPM. Если этот параметр недоступен, они могут использовать шифрование программного обеспечения.

  2. Задайте минимальную длину ПИН-кода и максимальную длину ПИН-кода. Это позволяет устройствам использовать минимальную и максимальную длину ПИН-кода, задаваемую для обеспечения безопасного входа. Длина ПИН-кода по умолчанию составляет шесть символов, но вы можете применить минимальную длину в четыре символа. Максимальная длина ПИН-кода составляет 127 символов.

  3. Установка срока действия ПИН-кода (в днях). Рекомендуется указать срок действия ПИН-кода, после которого пользователи должны изменить его. Значение по умолчанию — 41 день.

  4. Запоминайте журнал ПИН-кодов. Ограничивает повторное использование ранее использованных ПИН-кодов. По умолчанию последние 5 ПИН-кодов нельзя использовать повторно.

  5. Используйте расширенную защиту от спуфинга, если она доступна. Это настраивает, когда функции защиты от спуфинга Windows Hello на устройствах, которые его поддерживают. Например, обнаружение фотографии лица, а не реального лица.

  6. Разрешить вход с телефона. Если для этого параметра задано значение "Да", пользователи могут использовать удаленный паспорт для использования в качестве переносимого устройства-компаньона для проверки подлинности настольного компьютера. Настольный компьютер должен быть присоединен к Azure AD, а дополнительное устройство должно быть настроено с Windows Hello для бизнеса ПИН-кодом.

После настройки этих параметров нажмите кнопку " Сохранить".

После настройки параметров, которые применяются ко всем зарегистрированным устройствам Windows 10 и мобильным устройствам Windows 10, настройте профили защиты идентификации Windows Hello для бизнеса, чтобы настроить параметры безопасности Windows Hello для бизнеса для определенных устройств конечных пользователей.

  1. Выберите профили > конфигурации устройств Для > создания профиля Windows 10 > и более поздней > версии защиты идентификации.

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. Настройте Windows Hello для бизнеса. Выберите способ настройки Windows Hello для бизнеса.

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. Минимальная длина ПИН-кода.

    2. Строчные буквы в ПИН-коде.

    3. Прописные буквы в ПИН-коде.

    4. Специальные символы в ПИН-коде.

    5. Срок действия ПИН-кода (в днях).

    6. Запоминайте журнал ПИН-кодов.

    7. Включите восстановление ПИН-кода. Позволяет пользователю использовать службу Windows Hello для бизнеса ПИН-кода.

    8. Использование доверенного платформенного модуля (TPM). Микросхема доверенного платформенного модуля обеспечивает дополнительный уровень безопасности данных.

    9. Разрешить биометрическую проверку подлинности. Включает биометрическую проверку подлинности, например распознавание лиц или отпечаток пальца, в качестве альтернативы ПИН-коду для Windows Hello для бизнеса. Пользователи по-прежнему должны настраивать ПИН-код в случае сбоя биометрической проверки подлинности.

    10. Используйте расширенную защиту от спуфинга, если она доступна. Настраивает, когда функции защиты от спуфинга Windows Hello используются на устройствах, которые ее поддерживают (например, при обнаружении фотографии лица, а не реального лица).

    11. Используйте ключи безопасности для входа. Этот параметр доступен для устройств под управлением Windows 10 версии 1903 или более поздней. Используйте его для управления поддержкой использования Windows Hello ключей безопасности для входа.

Наконец, можно создать дополнительные политики ограничений устройств для дальнейшей блокировки корпоративных устройств.

II. Доступ предоставляется только управляемым облаком и совместимым конечным точкам и приложениям

Получив удостоверения для всех конечных точек, которые имеют доступ к корпоративным ресурсам, и перед предоставлением доступа, необходимо убедиться, что они соответствуют минимальным требованиям безопасности, заданным вашей организацией.

После установки политик соответствия требованиям для доступа корпоративных ресурсов к доверенным конечным точкам и мобильным и классическим приложениям все пользователи могут получать доступ к организационным данным на мобильных устройствах, а на всех устройствах устанавливается минимальная или максимальная версия операционной системы. Устройства не имеют административных или корневых элементов.

Кроме того, задайте правила исправления для несоответствующих устройств, например блокировку несоответствующих устройств или предложение пользователю льготного периода для обеспечения соответствия требованиям.

Diagram of the steps within phase 2 of the initial deployment objectives.

Создание политики соответствия требованиям с Microsoft Intune (все платформы)

Чтобы создать политику соответствия требованиям, выполните следующие действия.

  1. Выбор политик > соответствия устройств политике > создания > политики.

  2. Выберите платформу для этой политики (Windows 10, как показано ниже).

  3. Выберите нужную конфигурацию работоспособности устройства.

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. Настройте минимальные или максимальные свойства устройства.

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. Настройте Configuration Manager соответствие. Для этого все оценки соответствия в Configuration Manager должны быть совместимыми и применимы только для совместно управляемых Windows 10 устройств. Все Intune только устройства будут возвращать значение N/A.

  6. Настройка системной безопасности Параметры.

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. Настройте антивредоносное ПО в Microsoft Defender.

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. Настройте требуемую оценку Microsoft Defender для конечной точки компьютера.

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. На вкладке "Действия для несоответствия" укажите последовательность действий, которые будут автоматически применяться к устройствам, которые не соответствуют этой политике соответствия.

    Screenshot of Actions for noncompliance in compliance policy settings.

Автоматизация отправки уведомлений по электронной почте и добавление дополнительных действий по исправлению для несоответствующих устройств в Intune (на всех платформах)

Когда их конечные точки или приложения становятся несоответствующими, пользователи выполняют инструкции по самостоятельному исправлению. Оповещения автоматически создаются с дополнительными оповещениями и автоматическими действиями, заданными для определенных пороговых значений. Можно задать действия по исправлению несоответствия.

Выполните следующие действия.

  1. Выберите "Уведомления > о создании политик соответствия устройств >> ".

  2. Создание шаблона сообщения уведомления.

    Screenshot of Create notification in compliance policy settings.

  3. Выберите политики > соответствия устройств>, выберите одну из политик и нажмите кнопку "Свойства".

  4. Выберите "Действия для добавления несоответствия > ".

  5. Добавьте действия для несоответствия:

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. Настройка автоматического сообщения электронной почты для пользователей с несоответствующими устройствами.

    2. Настройка действия для удаленной блокировки несоответствующих устройств.

    3. Настройка действия для автоматического прекращения использования несоответствующих устройств по истечении задаваемого числа дней.

III. Политики защиты от потери данных (DLP) применяются для корпоративных устройств и BYOD

После предоставления доступа к данным необходимо контролировать, что пользователь может делать с данными. Например, если пользователь получает доступ к документу с корпоративным удостоверением, необходимо запретить сохранение этого документа в незащищенном хранилище потребителей или предоставить общий доступ к нему с помощью пользовательского приложения или приложения чата.

Diagram of the steps within phase 3 of the initial deployment objectives.

Сначала примените параметры безопасности, рекомендуемые корпорацией Майкрософт, Windows 10 устройств для защиты корпоративных данных (требуется Windows 10 версии 1809 и более поздних версий):

Используйте Intune базовых показателей безопасности для защиты и защиты пользователей и устройств. Базовые показатели безопасности — это предварительно настроенные группы параметров Windows, которые помогают применять известные группы параметров и значения по умолчанию, рекомендуемые соответствующими командами безопасности.

Выполните следующие действия.

  1. Выберите базовые показатели безопасности > конечной точки, чтобы просмотреть список доступных базовых показателей.

  2. Выберите базовый план, который вы хотите использовать, а затем выберите " Создать профиль".

  3. На вкладке "Параметры конфигурации" просмотрите группы Параметры, доступные в выбранном базовом плане. Вы можете развернуть группу, чтобы просмотреть параметры в этой группе и значения по умолчанию для этих параметров в базовом плане. Чтобы найти конкретные параметры:

    1. Выберите группу, чтобы развернуть и просмотреть доступные параметры.

    2. Используйте панель поиска и укажите ключевые слова, фильтруемые в представлении, чтобы отобразить только те группы, которые содержат условия поиска.

    3. Перенастройте параметры по умолчанию в соответствии с потребностями вашего бизнеса.

      Screenshot of Application Management settings in Create Profile.

  4. На вкладке "Назначения" выберите группы, которые нужно включить, а затем назначьте базовый план одной или нескольким группам. Чтобы точно настроить назначение, используйте для исключения группы Select.

Автоматическое развертывание обновлений на конечных точках

Настройка Windows 10 устройств

Настройте Windows обновления для бизнеса, чтобы упростить процесс управления обновлениями для пользователей и обеспечить автоматическое обновление устройств в соответствии с необходимым уровнем соответствия.

Выполните следующие действия.

  1. Управляйте Windows 10 обновлений программного обеспечения в Intune путем создания кругов обновления и включения коллекции параметров, которые настраиваются при Windows 10 обновления.

    1. Выберите "Устройства >> Windows Windows 10 "Создать круги обновления>".

    2. В разделе "Параметры круга обновления" настройте параметры для своих бизнес-потребностей.

      Screenshot of Update settings and User experience settings.

    3. В разделе "Назначения" выберите "+ Выбрать группы для включаемого", а затем назначьте круг обновления одной или нескольким группам. Чтобы точно настроить назначение, используйте +Select groups to exclude.

  2. Управляйте обновлениями компонентов Windows 10 в Intune, чтобы перенести устройства в указанную версию Windows (т. е. 1803 или 1809) и закрепить набор функций на этих устройствах, пока вы не обновите их до более поздней версии Windows.

    1. Выберите "Устройства > Windows > Windows 10 обновления компонентов > "Создать".

    2. В разделе "Основные сведения" укажите имя, описание (необязательно), а для развертывания обновления компонентов выберите версию Windows с нужным набором функций, а затем нажмите кнопку "Далее".

    3. В разделе "Назначения" выберите группы, которые нужно включить, а затем назначьте развертывание обновления компонентов одной или нескольким группам.

Настройка устройств iOS

Для устройств, зарегистрированных в организации, настройте обновления iOS, чтобы упростить процесс управления обновлениями для пользователей и обеспечить автоматическое обновление устройств в соответствии с необходимым уровнем соответствия. Настройка политики обновления iOS.

Выполните следующие действия.

  1. Выберите политики > обновления устройств для профиля создания iOS/iPadOS > .

  2. На вкладке "Основные сведения" укажите имя для этой политики, укажите описание (необязательно) и нажмите кнопку "Далее".

  3. На вкладке "Параметры политики обновления" настройте следующие параметры:

    1. Выберите версию для установки. Вы можете выбрать один из вариантов:

      1. Последнее обновление: развертывает последнее выпущенное обновление для iOS/iPadOS.

      2. Любая предыдущая версия, доступная в раскрывающемся списке. Если выбрана предыдущая версия, необходимо также развернуть политику конфигурации устройства, чтобы отложить видимость обновлений программного обеспечения.

    2. Тип расписания: настройте расписание для этой политики:

      1. Обновим при следующей проверке. Обновление устанавливается на устройстве при следующей проверке с помощью Intune. Это самый простой вариант, который не имеет дополнительных конфигураций.

      2. Обновление в запланированное время. Вы настраиваете одно или несколько периодов времени, в течение которых обновление будет устанавливаться при возврате.

      3. Обновление вне запланированного времени. Вы настраиваете одно или несколько периодов времени, в течение которых обновления не будут устанавливаться при возврате.

    3. Еженедельное расписание. Если при следующей проверке вы выбрали тип расписания, отличный от обновления, настройте следующие параметры:

      Screenshot of Update policy settings in Create profile.

  4. Выберите часовой пояс.

  5. Определите период времени. Определите один или несколько блоков времени, которые ограничивают время установки обновлений. Параметры включают в себя день начала, время начала, день окончания и время окончания. При использовании начального и конечного дней поддерживаются блоки на ночь. Если вы не настроите время начала или окончания, конфигурация не приведет к ограничению, и обновления могут устанавливаться в любое время.

Проверка шифрования устройств

Настройка Bitlocker для шифрования Windows 10 устройств

  1. Выберите "Профили > конфигурации устройств" " > Создать профиль".

  2. Задайте следующие параметры:

    1. Платформа: Windows 10 и более поздних версий

    2. Тип профиля: Endpoint Protection

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. Выберите Параметры > Windows шифрования.

    Screenshot of Endpoint protection in Create profile.

  4. Настройте параметры BitLocker в соответствии с бизнес-потребностями, а затем нажмите кнопку "ОК".

Настройка шифрования FileVault на устройствах macOS

  1. Выберите "Профили > конфигурации устройств" " > Создать профиль".

  2. Задайте следующие параметры:

    1. Платформа: macOS.

    2. Тип профиля: Endpoint Protection.

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. Выберите Параметры > FileVault.

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. Для FileVault выберите " Включить".

  5. Для типа ключа восстановления поддерживается только личный ключ.

  6. Настройте оставшиеся параметры FileVault в соответствии с бизнес-потребностями, а затем нажмите кнопку "ОК".

Создание политик защиты приложений для защиты корпоративных данных на уровне приложения

Чтобы данные оставались безопасными или содержались в управляемом приложении, создайте политики защиты приложений (APP). Политика может быть правилом, которое применяется, когда пользователь пытается получить доступ к корпоративным данным или переместить их, или набором действий, которые запрещены или отслеживаются, когда пользователь находится внутри приложения.

Платформа защиты данных APP состоит из трех разных уровней конфигурации, каждый из которых построен на предыдущем уровне:

  • Enterprise защиты данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования, а также выполняет выборочную очистку. Для устройств Android этот уровень проверяет аттестацию устройств Android. Это конфигурация начального уровня, которая обеспечивает аналогичный контроль защиты данных в Exchange Online почтовых ящиков и вводит ИТ-пользователей и пользователей в APP.

  • Enterprise улучшенной защиты данных (уровень 2) предоставляет механизмы предотвращения утечки данных APP и минимальные требования к ОС. Это конфигурация, применимая к большинству мобильных пользователей, которые имеют доступ к рабочим или учебным данным.

  • Enterprise высокий уровень защиты данных (уровень 3) предоставляет расширенные механизмы защиты данных, расширенную конфигурацию ПИН-кода и защиту мобильных приложений от угроз. Эта конфигурация является желательной для пользователей, которые имеют доступ к данным с высоким риском.

Выполните следующие действия.

  1. На Intune портале выберите политики защита приложений>приложений. Этот выбор открывает защита приложений политик, где вы создаете новые политики и редактируете существующие политики.

  2. Выберите "Создать политику " и выберите iOS/iPadOS илиAndroid. Отобразится панель "Создать политику".

  3. Выберите приложения, к которых вы хотите применить политику защиты приложений.

  4. Настройте защиту данных Параметры:

    1. Защита данных iOS/iPadOS. Дополнительные сведения см. в разделе "Параметры политики защиты приложений iOS/iPadOS — защита данных".

    2. Защита данных Android. Дополнительные сведения см. в разделе "Параметры политики защиты приложений Android — защита данных".

  5. Настройте требования к Параметры:

    1. Требования к доступу iOS/iPadOS. Дополнительные сведения см. в разделе "Параметры политики защиты приложений iOS/iPadOS — требования к доступу".

    2. Требования к доступу к Android. Дополнительные сведения см. в разделе "Параметры политики защиты приложений Android— требования к доступу".

  6. Настройка условного запуска Параметры:

    1. Условный запуск iOS/iPadOS. Дополнительные сведения см. в разделе "Параметры политики защиты приложений iOS/iPadOS — условный запуск".

    2. Условный запуск Android. Дополнительные сведения см. в разделе "Параметры политики защиты приложений Android — условный запуск".

  7. Нажмите кнопку " Далее", чтобы отобразить страницу "Назначения ".

  8. По завершении нажмите кнопку "Создать", чтобы создать политику защиты приложений в Intune.




Checklist icon with two checkmarks.

Дополнительные цели развертывания

IV. Обнаружение угроз конечной точки используется для отслеживания рисков устройств

После достижения первых трех целей следующим шагом является настройка безопасности конечных точек таким образом, чтобы расширенная защита была подготовлена, активирована и отслеживается. Для согласованного управления всеми конечными точками используется одна панель.

Маршрутизация журналов и транзакций конечной точки в SIEM или Power BI

Используя хранилище Intune данных, отправьте данные управления устройствами и приложениями в отчеты или средства SIEM для интеллектуальной фильтрации оповещений для снижения шума.

Выполните следующие действия.

  1. Выберите "Отчеты > Intune хранилища данных>".

  2. Скопируйте URL-адрес пользовательского веб-канала. Например: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Откройте Power BI Desktop или решение SIEM.

Из решения SIEM

Выберите параметр для импорта или получения данных из веб-канала Odata.

Из PowerBI

  1. В меню выберите канал OData ">Получение > данных файла".

  2. Вставьте URL-адрес пользовательского веб-канала, скопированный на предыдущем шаге, в поле URL-адреса в окне веб-канала OData.

  3. Выберите "Базовый".

  4. Нажмите кнопку "ОК".

  5. Выберите учетную запись организации, а затем войдите с Intune учетными данными.

    Screenshot of OData feed setting in Organizational account.

  6. Выберите Подключение. Откроется навигатор и отобразится список таблиц в Intune Data Warehouse.

  7. Выберите устройства и таблицы ownerTypes. Выберите "Загрузить". Power BI загружает данные в модель.

  8. Создайте связь. Можно импортировать несколько таблиц для анализа не только данных в одной таблице, но и связанных данных между таблицами. Power BI есть функция autodetect, которая пытается найти и создать связи для вас. Таблицы в Data Warehouse были построены для работы с функцией автоматического определения в Power BI. Однако даже если Power BI не находит связи автоматически, вы по-прежнему можете управлять связями.

  9. Выберите Управление связями.

  10. Выберите "Автообнаружить", Power BI еще не удалось обнаружить связи.

  11. Узнайте о расширенных способах настройки визуализаций PowerBI.

V. Управление доступом зависит от риска конечной точки как для корпоративных устройств, так и для BYOD

Корпоративные устройства регистрируются с помощью облачной службы регистрации, например DEP, Android Enterprise или Windows AutoPilot

Создание и обслуживание пользовательских образов операционной системы является трудоемким процессом, который может включать в себя применение пользовательских образов операционной системы к новым устройствам для подготовки к использованию.

  • Благодаря Microsoft Intune облачных служб регистрации вы можете предоставлять пользователям новые устройства без необходимости создавать, обслуживать и применять пользовательские образы операционной системы к устройствам.

  • Windows Autopilot — это набор технологий, используемых для настройки и предварительной настройки новых устройств, подготовки их к продуктивному использованию. Вы также можете использовать Windows Autopilot для сброса, повторного назначения и восстановления устройств.

  • Настройте Windows Autopilot для автоматизации присоединения к Azure AD и регистрации новых корпоративных устройств в Intune.

  • Настройте Apple DEP для автоматической регистрации устройств iOS и iPadOS.

Продукты, рассматриваемые в этом руководстве

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (включает Microsoft Intune и Configuration Manager)

Microsoft Defender для конечной точки

Bitlocker

Заключение

Подход "Никому не доверяй" может значительно повысить уровень безопасности устройств и конечных точек. Для получения дополнительной информации или справки по реализации обратитесь в службу поддержки клиентов или продолжайте читать другие разделы этого руководства, охватывающие все основные принципы "Никому не доверяй".



Серия руководств по развертыванию "Никому не доверяй"

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration