Skydda data och enheter med Microsoft Intune

  • Artikel
  • 9 minuter för att läsa

Microsoft Intune kan hjälpa dig att hålla dina hanterade enheter säkra och uppdaterade samtidigt som du kan skydda organisationens data från komprometterade enheter. Dataskydd omfattar att styra vad användare gör med en organisations data på både hanterade och ohanterade enheter. Dataskyddet omfattar även blockering av åtkomst till data från enheter som kan komprometteras.

Den här artikeln beskriver många av Intunes inbyggda funktioner och partnertekniker som du kan integrera med Intune. När du lär dig mer om dem kan du samla flera för mer omfattande lösningar på din resa mot en nollförtroendemiljö.

Från Microsoft Endpoint Manager har Intune stöd för hanterade enheter som kör Android, iOS/iPad, macOS och Windows 10.

När du använder Konfigurationshanteraren för att hantera lokala enheter kan du utöka Intune-principer till dessa enheter genom att konfigurera anslutning av klientorganisationen eller samhantering.

Intune kan också arbeta med information från enheter som du hanterar med produkter från tredje part som tillhandahåller enhetsefterlevnad och skydd mot mobila hot.

Skydda enheter med principer

Distribuera Intunes principer för enhetskonfiguration och enhetsefterlevnad för att konfigurera enheter så att de uppfyller organisationens säkerhetsmål. Principer stöder en eller flera profiler, som är de diskreta uppsättningar plattformsspecifika regler som du distribuerar till grupper av registrerade enheter.

  • Med principer för enhetskonfigurationhanterar du profiler som definierar de inställningar och funktioner som enheter använder i din organisation. Konfigurera enheter för slutpunktsskydd, etablera certifikat för autentisering, ange funktionssätt för programuppdatering med mera.

  • Med principer för enhetsefterlevnadskapar du profiler för olika enhetsplattformar som upprättar enhetskrav. Kraven kan omfatta operativsystemversioner, användning av diskkryptering eller att de ligger på eller under specifika hotnivåer enligt hothanteringsprogramvaran.

    Intune kan skydda enheter som inte är kompatibla med dina principer och varna enhetsanvändaren så att de kan göra enheten kompatibel.

    När du lägger till villkorlig åtkomst till mixen konfigurerar du principer som endast tillåter att kompatibla enheter får åtkomst till nätverket och organisationens resurser. Åtkomstbegränsningar kan vara filresurser och företagets e-post. Principer för villkorlig åtkomst fungerar också med de enhetstillståndsdata som rapporteras av tredjepartspartner för enhetsefterlevnad som du integrerar med Intune.

Här följer några av de säkerhetsinställningar och uppgifter som du kan hantera via enhetsprincipen:

  • EnhetskrypteringHantera BitLocker Windows 10 enheter och FileVault på macOS.

  • Autentiseringsmetoder – Konfigurera hur dina enheter autentiseras mot organisationens resurser, e-post och program.

    • Använd certifikat för autentisering till program, organisationens resurser och för signering och kryptering av e-post med hjälp av S/MIME. Du kan också konfigurera härledda autentiseringsuppgifter när din miljö kräver användning av smartkort.

    • Konfigurera inställningar som hjälper dig att begränsa risker, till följande:

      • Kräv multifaktorautentisering (MFA) för att lägga till ett extra lager autentisering för användare.
      • Ange krav för PIN-kod och lösenord som måste uppfyllas innan du får åtkomst till resurser.
      • Aktivera Windows Hello för företag för Windows 10 enheter.

  • Virtuella privata nätverk (VPN) – Med VPN-profiler tilldelar du VPN-inställningar till enheter så att de enkelt kan ansluta till organisationens nätverk. Intune stöder flera VPN-anslutningstyper och -appar, som innehåller både inbyggda funktioner för vissa plattformar och VPN-appar från både första och tredje part för enheter.

  • Programuppdateringar – Hantera hur och när enheter hämtar programuppdateringar.

    • För iOShanterar du enhetens operativsystemversioner och när enheterna söker efter och installerar uppdateringar.
    • För Windows 10kan du hantera Windows Update-upplevelsen för enheter. Du kan konfigurera när enheter genomsöker eller installerar uppdateringar, innehåller en uppsättning av dina hanterade enheter i specifika funktionsversioner och mycket mer.

  • Säkerhetsbaslinjer – Distribuera säkerhetsbaslinjer för att upprätta en grundläggande säkerhetsstatus på Windows 10 enheter. Säkerhetsbaslinjer är förkonfigurerade grupper Windows inställningar som rekommenderas av relevanta produktteam. Du kan använda baslinjer som de tillhandahålls eller redigera instanser av dem för att uppfylla dina säkerhetsmål för riktade grupper av enheter.

Skydda data med hjälp av principer

Intune-hanterade appar och Intunes appskyddsprinciper kan hjälpa dig att stoppa dataläckor och skydda din organisations data. Dessa skydd kan tillämpas på enheter som har registrerats med Intune och på enheter som inte är det.

  • Intune-hanterade appar (eller hanterade appar) är appar som har integrerats med Intune App SDK eller omslutts av Intune-App Wrapping Tool. Dessa appar kan hanteras med intune-appskyddsprinciper. En lista över offentligt tillgängliga hanterade appar finns i Intune-skyddade appar.

    Användare kan använda hanterade appar för att arbeta med både organisationens data och sina egna personliga data. Men när appskyddsprinciper kräver användning av en hanterad app är den hanterade appen den enda app som kan användas för att komma åt organisationens data. Appskydd gäller inte för en användares personliga data.

  • Appskydd principer är regler som ser till att en organisations data förblir säkra eller finns i en hanterad app. Reglerna identifierar den hanterade app som måste användas och definierar vad som kan göras med data medan appen används.

Följande är exempel på skydd och begränsningar som du kan ange med appskyddsprinciper och hanterade appar:

  • Konfigurera skydd på applager, t.ex. att kräva en PIN-kod för att öppna en app i en arbetskontext.
  • Kontrollera delning av en organisations data mellan appar på en enhet, till exempel blockera kopiering och inklistring eller skärmdumpar.
  • Förhindra att din organisations data sparas på personliga lagringsplatser.

Använda enhetsåtgärder för att skydda enheter och data

Från Microsoft Endpoint Manager administrationscenter kan du köra enhetsåtgärder som hjälper dig att skydda en vald enhet. Du kan köra en delmängd av dessa åtgärder som massenhetsåtgärder för att påverka flera enheter samtidigt. Och flera fjärråtgärder från Intune kan också användas med sam hanterade enheter.

Enhetsåtgärder är inte princip och gäller en enda gång när de anropas. De tillämpas antingen omedelbart om enheten är tillgänglig online eller när enheten startas eller checkar in med Intune. De här åtgärderna betraktas som ett komplement till användningen av principer som konfigurerar och underhåller säkerhetskonfigurationer för en population av enheter.

Följande är exempel på åtgärder som du kan köra för att skydda enheter och data:

Enheter som hanteras av Intune:

  • BitLocker Key-rotation (endast Windows)
  • Inaktivera aktiveringslås (Endast iOS)
  • Fullständig sökning eller snabbsökning (Windows 10 endast)
  • Fjärrlåsning
  • Dra tillbaka (som tar bort organisationens data från enheten samtidigt som personliga data förblir intakta)
  • Uppdatera Microsoft Defender Security Intelligence
  • Rensa (fabriksåterställa enheten, ta bort alla data, appar och inställningar)

Enheter som hanteras av Konfigurationshanteraren:

  • Pensionera
  • Rensning
  • Synkronisera (tvinga en enhet att omedelbart checka in med Intune för att hitta nya principer eller väntande åtgärder)

Integrera med andra produkter

Intune stöder integrering med partnerappar från både förstaparts- och tredjepartskällor, som utökar sina inbyggda funktioner. Du kan också integrera Intune med flera Microsoft-tekniker.

Partnertekniker

Intune kan använda data från integrerade efterlevnadspartner och partner för skydd mot mobilhot:

  • Efterlevnadspartner – Läs mer om partner för enhetsefterlevnad med Intune. När du hanterar en enhet med en annan partner för hantering av mobila enheter än Intune kan du integrera dessa efterlevnadsdata med Azure Active Directory. När partnerdata är integrerade kan de användas av principer för villkorsstyrd åtkomst tillsammans med efterlevnadsdata från Intune.

  • Mobile Threat Defense – Mobile Threat Defense-appar kan genomsöka enheter efter hot och hjälpa dig att identifiera risken för att ge enheten åtkomst till organisationens resurser och data. Du kan sedan använda den risknivån i olika principer, till exempel principer för villkorlig åtkomst, för att skydda åtkomsten till dessa resurser.

Configuration Manager

Du kan använda många Intune-principer och enhetsåtgärder för att skydda de enheter som du hanterar med Konfigurationshanteraren. För att stödja dessa enheter konfigurerar du samhantering eller klientorganisations anslut. Du kan också använda båda tillsammans med Intune.

  • Med samhantering kan du samtidigt hantera en Windows 10 enhet med både Konfigurationshanteraren och Intune. Du installerar Konfigurationshanteraren-klienten och registrerar enheten i Intune. Enheten kommunicerar med båda tjänsterna.

  • Klientorganisations bifoga uppsättningar synkronisering mellan din Konfigurationshanteraren plats och Din Intune-klientorganisation. Den här synkroniseringen ger dig en enda vy för alla enheter som du hanterar med Microsoft Endpoint Manager.

När du har upprättat en anslutning mellan Intune och Konfigurationshanteraren är enheter från Konfigurationshanteraren tillgängliga i Microsoft Endpoint Manager administrationscenter. Du kan sedan distribuera Intune-principer till dessa enheter eller använda enhetsåtgärder för att skydda dem.

Några av de skydd som du kan använda är:

  • Distribuera certifikat till enheter med hjälp av Intune Simple Certificate Enrollment Protocol (SCEP) eller privata och offentliga nyckelpar (PKCS)-certifikatprofiler.
  • Använd efterlevnadsprincip.
  • Använd endpoint security-principer som Antivirus, Slutpunktsidentifiering och svar och Brandväggsregler.
  • Tillämpa säkerhetsbaslinjer.
  • Hantera Windows uppdateringar.

Mobile Threat Defense-appar

MTD-appar (Mobile Threat Defense) söker aktivt igenom och analyserar enheter efter hot. När du integrerar (ansluter) Mobile Threat Defense-appar med Intune får du apputvärderingen av en enhetshotnivå. Utvärdering av en enhetshotnivå är ett viktigt verktyg för att skydda organisationens resurser från komprometterade mobila enheter.

Använd hotnivådata med principer för enhetsefterlevnad, appskydd och villkorsstyrd åtkomst. Dessa principer använder data för att blockera icke-kompatibla enheter från att komma åt organisationens resurser.

Med en integrerad MTD-app:

  • För registrerade enheter:

    • Använd Intune för att distribuera och sedan hantera MTD-appen på enheter.
    • Distribuera efterlevnadsprinciper för enheter som använder enheternas rapporterade hotnivå för att utvärdera efterlevnaden.
    • Definiera principer för villkorsstyrd åtkomst som överväger en hotnivå för enheter.
    • Definiera appskyddsprinciper för att avgöra när åtkomst till data ska blockeras eller tillåtas, baserat på enhetens hotnivå.

  • För enheter som inte registreras med Intune men kör en MTD-app som är integrerad med Intune använder du deras hotnivådata med dina appskyddsprinciper för att blockera åtkomsten till din organisations data.

Intune stöder integrering med:

Microsoft Defender för slutpunkter

Microsoft Defender för slutpunkt ger på egen hand flera säkerhetsfokuserade fördelar. Microsoft Defender för slutpunkt integreras också med Intune och stöds på flera enhetsplattformar. Med integrering får du en app för skydd mot mobilhot och lägger till funktioner i Intune för att skydda data och enheter. Dessa funktioner är:

  • Stöd för Microsoft Tunnel – På Android-enheter är Microsoft Defender för slutpunkt det klientprogram som du använder med Microsoft Tunnel, en VPN-gatewaylösning för Intune. När den används Microsoft Tunnel klientappen behöver du ingen prenumeration för Microsoft Defender för slutpunkt.

  • SäkerhetsaktiviteterMed säkerhetsaktiviteterkan Intune-administratörer dra nytta av Microsoft Defender för slutpunktens Hantering av hot och säkerhetsrisker funktioner. Så här fungerar det:

    • Ditt Defender for Endpoint-team identifierar riskfyllda enheter och skapar säkerhetsuppgifterna för Intune i Defender for Endpoint Security Center.
    • Dessa uppgifter visas i Intune med åtgärdsrekommendationer som Intune-administratörer kan använda för att minska risken.
    • När en uppgift har lösts i Intune, skickar den statusen tillbaka till Defender for Endpoint Security Center där resultatet av åtgärden kan utvärderas.

  • Endpoint Security-principer – Följande Endpoint Security-principer för Intune kräver integrering med Microsoft Defender för slutpunkt. När du använder anslutning av klientorganisationenkan du distribuera dessa principer till enheter som du hanterar med antingen Intune eller Konfigurationshanteraren.

    • Antivirusprincip – Hantera inställningarna för Microsoft Defender Antivirus och Windows-säkerhet på enheter som stöds, till exempel Windows 10 och macOS.

    • Princip för slutpunktsidentifiering och svar – Använd den här principen för att konfigurera identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt), vilket är en funktion i Microsoft Defender för slutpunkter.

Villkorlig åtkomst

Villkorlig åtkomst är en Azure Active Directory (Azure AD) som fungerar med Intune för att skydda enheter. För enheter som registreras med Azure AD kan principer för villkorsstyrd åtkomst använda enhets- och efterlevnadsinformation från Intune för att framtvinga åtkomstbeslut för användare och enheter.

Kombinera principen för villkorsstyrd åtkomst med:

  • Efterlevnadsprinciper för enheter kan kräva att en enhet markeras som kompatibel innan enheten kan användas för att få åtkomst till organisationens resurser. Principerna för villkorsstyrd åtkomst anger de apptjänster som du vill skydda, villkor under vilka appar eller tjänster kan nås och de användare som principen gäller för.

  • Appskydd kan lägga till ett säkerhetslager som säkerställer att endast klientappar som stöder Intunes appskyddsprinciper kan komma åt dina onlineresurser, till exempel Exchange eller andra Microsoft 365 tjänster.

Villkorlig åtkomst fungerar också med följande för att hjälpa dig att skydda enheter:

  • Microsoft Defender för slutpunkt och MTD-appar från tredje part
  • Partnerappar för enhetsefterlevnad
  • Microsoft Tunnel

Nästa steg

Planera att använda Intunes funktioner för att stödja din resa mot en nollförtroendemiljö genom att skydda dina data och skydda enheter. Utöver föregående in-line-länkar för att lära dig mer om dessa funktioner kan du läsa mer om datasäkerhet och delning i Intune.