Skyddsnivåer och konfigurationsnivåer i Microsoft Intune

  • Artikel

Microsoft Intune ger administratörer möjlighet att skapa principer som tillämpas på användare, enheter och appar. Dessa principer kan vara allt från en minsta uppsättning till säkrare eller mer kontrollerade principer. Dessa principer beror på organisationens behov, vilka enheter som används och vad enheterna kommer att göra.

När du är redo att skapa principer kan du använda olika skyddsnivåer och konfigurationsnivåer:

Dina miljö- och affärsbehov kan ha olika nivåer definierade. Du kan använda dessa nivåer som utgångspunkt och sedan anpassa dem efter dina behov. Du kan till exempel använda enhetskonfigurationsprinciperna på nivå 1 och appprinciperna på nivå 3.

Välj de nivåer som passar din organisation. Det finns inget fel val.

Nivå 1 – Lägsta skydd och konfiguration

Den här nivån innehåller principer som varje organisation bör ha, minst. Principerna på den här nivån skapar en minimibaslinje för säkerhetsfunktioner och ger användarna åtkomst till de resurser de behöver för att utföra sina jobb.

Appar (nivå 1)

Den här nivån tillämpar en rimlig mängd dataskydds- och åtkomstkrav samtidigt som påverkan på användarna minimeras. Den här nivån säkerställer att appar skyddas med en PIN-kod och krypteras och utför selektiva rensningsåtgärder. För Android-enheter validerar den här nivån Android-enhetsattestering. Den här nivån är en konfiguration på ingångsnivå som ger liknande dataskyddskontroll i Exchange Online postlådeprinciper. Den introducerar även IT och användarpopulationen för appskyddsprinciper.

På den här nivån rekommenderar Microsoft att du konfigurerar följande skydd och åtkomst för appar:

  • Aktivera grundläggande dataskyddskrav:

    • Tillåt grundläggande dataöverföring i appen
    • Framtvinga grundläggande appkryptering
    • Tillåt grundläggande åtkomstfunktioner

  • Aktivera grundläggande åtkomstkrav:

    • Kräv PIN-kod, ansikts-ID och biometrisk åtkomst
    • Framtvinga stöd för grundläggande åtkomstinställningar

  • Aktivera start av grundläggande villkorsstyrda program:

    • Konfigurera grundläggande åtkomstförsök för appar
    • Blockera appåtkomst baserat på jailbrokade/rotade enheter
    • Begränsa appåtkomst baserat på grundläggande integritet för enheter

Mer information finns i Grundläggande appskydd på nivå 1.

Efterlevnad (nivå 1)

På den här nivån omfattar enhetsefterlevnad att konfigurera inställningarna för hela klientorganisationen som gäller för alla enheter och distribuera minimala efterlevnadsprinciper till alla enheter för att framtvinga en grundläggande uppsättning efterlevnadskrav. Microsoft rekommenderar att dessa konfigurationer finns på plats innan du tillåter att enheter får åtkomst till organisationens resurser. Enhetsefterlevnad på nivå 1 omfattar:

Inställningar för efterlevnadsprinciper är några inställningar för hela klientorganisationen som påverkar hur Intune-efterlevnadstjänsten fungerar med dina enheter.

Plattformsspecifika efterlevnadsprinciper innehåller inställningar för vanliga teman på olika plattformar. Det faktiska inställningsnamnet och implementeringen kan skilja sig mellan olika plattformar:

  • Kräv antivirusprogram, program mot skadlig kod och program mot skadlig kod (endast Windows)
  • Operativsystemversion:
    • Maximalt operativsystem
    • Lägsta operativsystem
    • Delversioner och huvudversioner
    • Korrigeringsnivåer för operativsystem
  • Lösenordskonfigurationer
    • Framtvinga låsskärm efter period av inaktivitet, vilket kräver ett lösenord eller en pin-kod för att låsa upp
    • Kräv komplexa lösenord med kombinationer av bokstäver, siffror och symboler
    • Kräv lösenord eller PIN-kod för att låsa upp enheter
    • Kräv minsta längd på lösenord

Åtgärder för inkompatibilitet ingår automatiskt i varje plattformsspecifik princip. Dessa åtgärder är en eller flera tidsbeställda åtgärder som du konfigurerar som gäller för enheter som inte uppfyller efterlevnadskraven för principen. Som standard är märkning av en enhet som icke-kompatibel en omedelbar åtgärd som ingår i varje princip.

Mer information finns i Nivå 1 – Minimal enhetsefterlevnad.

Enhetskonfiguration (nivå 1)

På den här nivån innehåller profilerna inställningar som fokuserar på säkerhet och resursåtkomst. På den här nivån rekommenderar Microsoft att du konfigurerar följande funktioner:

  • Aktivera grundläggande säkerhet, inklusive:

    • Antivirus och genomsökning
    • Hotidentifiering och svar
    • Brandvägg
    • Programuppdateringar
    • Stark PIN-kod och lösenordsprincip

  • Ge användarna åtkomst till nätverket:

    • E-post
    • VPN för fjärråtkomst
    • Wi-Fi för lokal åtkomst

Mer information om dessa principer på den här nivån finns i Steg 4 – Skapa enhetskonfigurationsprofiler för att skydda enheter och skapa anslutningar till organisationsresurser.

Nivå 2 – Förbättrat skydd och konfiguration

Den här nivån utökar den minsta uppsättningen principer för att inkludera mer säkerhet och utöka din hantering av mobila enheter. Principerna på den här nivån skyddar fler funktioner, ger identitetsskydd och hanterar fler enhetsinställningar.

Använd inställningarna på den här nivån för att lägga till det du har gjort på nivå 1.

Appar (nivå 2)

På den här nivån rekommenderas en standardnivå för programskydd för enheter där användarna får åtkomst till mer känslig information. Den här nivån introducerar mekanismer för dataläckageskydd för appskyddsprinciper och minimikrav på operativsystem. Den här nivån är den konfiguration som gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata.

Förutom inställningarna på nivå 1 rekommenderar Microsoft att du konfigurerar följande skydd och åtkomst för appar:

  • Aktivera förbättrade dataskyddskrav:

    • Överföra organisationsrelaterade data
    • Undanta dataöverföringskrav för valda appar (iOS/iPadOS)
    • Överföra telekommunikationsdata
    • Begränsa klipp ut, kopiera och klistra in mellan appar
    • Blockera skärmdump (Android)

  • Aktivera förbättrad start av villkorsstyrda program:

    • Blockera inaktivering av programkonton
    • Framtvinga minimikrav för enhetsoperativsystem
    • Kräv lägsta korrigeringsversion (Android)
    • Kräv utvärderingstyp för bedömning av spelintegritet (Android)
    • Kräv enhetslås (Android)
    • Tillåt appåtkomst baserat på ökad integritet för enheten

Mer information finns i Utökat appskydd på nivå 2.

Efterlevnad (nivå 2)

På den här nivån rekommenderar Microsoft att du lägger till mer komplexa alternativ i dina efterlevnadsprinciper. Många av inställningarna på den här nivån har plattformsspecifika namn som alla ger liknande resultat. Följande är de kategorier eller typer av inställningar som Microsoft rekommenderar att du använder när de är tillgängliga:

  • Program:

    • Hantera var enheter hämtar appar, till exempel Google Play för Android
    • Tillåt appar från specifika platser
    • Blockera appar från okända källor

  • Brandväggsinställningar

    • Brandväggsinställningar (macOS, Windows)

  • Kryptering:

    • Kräv kryptering av datalagring
    • BitLocker (Windows)
    • FileVault (macOS)

  • Lösenord

    • Lösenordets giltighetstid och återanvändning

  • Fil- och startskydd på systemnivå:

    • Blockera USB-felsökning (Android)
    • Blockera rotade eller jailbrokade enheter (Android, iOS)
    • Kräv systemintegritetsskydd (macOS)
    • Kräv kodintegritet (Windows)
    • Kräv säker start för att aktiveras (Windows)
    • Trusted Platform Module (Windows)

Mer information finns i Nivå 2 – Förbättrade inställningar för enhetsefterlevnad.

Enhetskonfiguration (nivå 2)

På den här nivån expanderar du de inställningar och funktioner som du konfigurerade på nivå 1. Microsoft rekommenderar att du skapar principer som:

  • Lägg till ytterligare ett säkerhetslager genom att aktivera diskkryptering, säker start och TPM på dina enheter.
  • Konfigurera dina PIN-koder & lösenord så att de upphör att gälla och hantera om/när lösenord kan återanvändas.
  • Konfigurera mer detaljerade enhetsfunktioner, inställningar och beteenden.
  • Om du har lokala grupprincipobjekt kan du avgöra om dessa grupprincipobjekt är tillgängliga i Intune.

Mer specifik information om enhetskonfigurationsprinciper på den här nivån finns på Nivå 2 – Förbättrat skydd och konfiguration.

Nivå 3 – Hög skydd och konfiguration

Den här nivån innehåller principer på företagsnivå och kan involvera olika administratörer i din organisation. Dessa principer fortsätter att övergå till lösenordsfri autentisering, har mer säkerhet och konfigurerar specialiserade enheter.

Använd inställningarna på den här nivån för att lägga till det du har gjort i nivåerna 1 och 2.

Appar (nivå 3)

På den här nivån rekommenderas en standardnivå för programskydd för enheter där användarna får åtkomst till mer känslig information. Den här nivån introducerar avancerade dataskyddsmekanismer, förbättrad PIN-konfiguration och appskyddsprincip Mobile Threat Defense. Den här konfigurationen är önskvärd för användare som har åtkomst till data med hög risk.

Förutom inställningarna på nivå 1 och 2 rekommenderar Microsoft att du konfigurerar följande skydd och åtkomst för appar:

  • Aktivera höga dataskyddskrav:

    • Högt skydd vid överföring av telekommunikationsdata
    • Ta emot data från endast principhanterade appar
    • Blockera öppning av data i organisationsdokument
    • Tillåt användare att öppna data från valda tjänster
    • Blockera tangentbord från tredje part
    • Kräv/välj godkända tangentbord (Android)
    • Blockera utskrift av organisationsdata

  • Aktivera krav för hög åtkomst:

    • Blockera enkel PIN-kod och kräva specifik minsta PIN-kodslängd
    • Kräv PIN-återställning efter antal dagar
    • Kräv klass 3 Biometri (Android 9.0+)
    • Kräv åsidosättning av biometrisk kod med PIN-kod efter biometriska uppdateringar (Android)

  • Aktivera hög villkorlig programstart:

    • Kräv enhetslås (Android)
    • Kräv högsta tillåtna hotnivå
    • Kräv maxversion av operativsystemet

Mer information finns i Hög appskydd på nivå 3.

Efterlevnad (nivå 3)

På den här nivån kan du utöka Intunes inbyggda efterlevnadsfunktioner med hjälp av följande funktioner:

  • Integrera data från MTD-partner (Mobile Threat Defense)

    • Med en MTD-partner kan dina efterlevnadsprinciper kräva att enheterna befinner sig på eller under en enhetshotnivå eller riskpoäng, enligt partnerns bedömning

  • Använda en efterlevnadspartner från tredje part med Intune

  • Använd skript för att lägga till anpassade kompatibilitetsinställningar i dina principer för inställningar som inte är tillgängliga från Intune-användargränssnittet. (Windows, Linux)

  • Använda efterlevnadsprincipdata med principer för villkorsstyrd åtkomst för att få åtkomst till organisationens resurser

Mer information finns i Nivå 3 – Avancerade konfigurationer för enhetsefterlevnad.

Enhetskonfiguration (nivå 3)

Den här nivån fokuserar på tjänster och funktioner på företagsnivå och kan kräva en infrastrukturinvestering. På den här nivån kan du skapa principer som:

  • Utöka lösenordsfri autentisering till andra tjänster i din organisation, inklusive certifikatbaserad autentisering, enkel inloggning för appar, multifaktorautentisering (MFA) och Microsoft Tunnel VPN-gatewayen.

  • Expandera Microsoft Tunnel genom att distribuera Microsoft Tunnel for Mobile Application Management (Tunnel för MAM), vilket utökar tunnelstödet till iOS- och Android-enheter som inte har registrerats med Intune. Tunnel för MAM är tillgänglig som ett Intune-tillägg.

    Mer information finns i Använda intune Suite-tilläggsfunktioner.

  • Konfigurera enhetsfunktioner som gäller för skiktet för inbyggd Windows-programvara. Använd vanligt villkorsläge för Android.

  • Använd Intune-principen för Windows Local Administrator Password Solution (LAPS) för att skydda det inbyggda lokala administratörskontot på dina hanterade Windows-enheter.

    Mer information finns i Intune-stöd för Windows LAPS.

  • Skydda Windows-enheter med hjälp av Endpoint Privilege Management (EPM), vilket hjälper dig att köra organisationens användare som standardanvändare (utan administratörsbehörighet) samtidigt som samma användare kan utföra uppgifter som kräver utökade privilegier.

    EPM är tillgängligt som ett Intune-tillägg. Mer information finns i Använda intune Suite-tilläggsfunktioner.

  • Konfigurera specialiserade enheter som kiosker och delade enheter.

  • Distribuera skript om det behövs.

Mer specifik information om enhetskonfigurationsprinciper på den här nivån finns i Nivå 3 – Hög skydd och konfiguration.

Nästa steg

En fullständig lista över alla enhetskonfigurationsprofiler som du kan skapa finns i Tillämpa funktioner och inställningar på dina enheter med enhetsprofiler i Microsoft Intune.