Hantera enheter med Intune -översikt

En av de viktigaste komponenterna i säkerhet på företagsnivå är att hantera och skydda enheter. Oavsett om du skapar en Noll förtroende-säkerhetsarkitektur och hårdställer miljön mot utpressningstrojaner eller skapar skydd för distansarbetare är hantering av enheter en del av strategin. Även Microsoft 365 innehåller flera verktyg och metoder för att hantera och skydda enheter. Den här vägledningen går igenom Microsofts rekommendationer med hjälp av Microsoft Intune. Det här är rätt vägledning för dig om du:

  • Planera att registrera enheter i Intune via Azure AD Join (inklusive Hybrid Azure AD Join).
  • Planera att registrera enheter manuellt i Intune.
  • Tillåt BYOD-enheter med planer på att implementera skydd för appar och data och/eller registrera dessa enheter i hanteringen.

Om din miljö å andra sidan innehåller planer för samhantering, inklusive Microsoft Endpoint Configuration Manager, kan du läsa dokumentation om samhantering för att utveckla den bästa vägen för din organisation. Om din miljö innehåller planer för Windows 365 Cloud PC kan du läsa Dokumentation om Windows 365 Enterprise för att utveckla den bästa vägen för din organisation.

Varför ska du hantera slutpunkter?

Det moderna företaget har en enorm variation av slutpunkter som används för att komma åt sina data. Den här konfigurationen skapar en enorm attackyta och därför kan slutpunkter lätt bli den svagaste länken i din nollförtroendestrategi.

Användare drivs mest av behovet när världen flyttas till en fjärr- eller hybridarbetsmodell, och arbetar var som helst, från vilken enhet som helst, mer än när som helst i historiken. Angripare justerar snabbt sina taktiker för att dra nytta av den här ändringen. Många organisationer ställs inför begränsade resurser när de navigerar i de här nya affärsutmaningarna. I stort sett över en natt har företag accelererat den digitala omvandlingen. Vi förväntar oss helt enkelt inte längre att komma åt den mängd företagsresurser som bara finns — på kontoret och på företagsägda enheter.

Att få insyn i slutpunkterna för åtkomst till företagets resurser är det första steget i din Noll förtroende enhetsstrategi. Företag är vanligtvis proaktiva när det gäller att skydda datorer mot sårbarheter och attacker, medan mobila enheter ofta inte övervakas och utan skydd. För att säkerställa att du inte exponerar dina data för risk måste vi övervaka varje slutpunkt för risker och använda detaljerade åtkomstkontroller för att leverera lämplig åtkomstnivå baserat på organisationsprincip. Om en personlig enhet till exempel är jailbrokad kan du blockera åtkomsten för att säkerställa att företagsprogram inte exponeras för kända säkerhetsrisker.

Den här serien med artiklar går igenom en rekommenderad process för att hantera enheter som har åtkomst till dina resurser. Om du följer de rekommenderade stegen får din organisation ett mycket avancerat skydd för dina enheter och de resurser som de har åtkomst till.

Implementera lager för skydd på och för enheter

Skydda data och appar på enheter och själva enheterna i en flerlagersprocess. Det finns vissa skydd som du kan få på ohanterade enheter. När du har registrerat enheter i hanteringen kan du implementera mer avancerade kontroller. När hotskydd distribueras över dina slutpunkter får du ännu fler insikter och möjlighet att automatiskt åtgärda vissa attacker. Om din organisation har lagt arbetet på att identifiera känsliga data, tillämpa klassificering och etiketter och konfigurera principer för dataförlustskydd kan du få ännu mer detaljerat skydd för data på dina slutpunkter.

Följande diagram illustrerar byggstenar för att uppnå en Noll förtroende säkerhetsstatus för Microsoft 365 och andra SaaS-appar som du introducerar i den här miljön. Elementen som är relaterade till enheter numreras 1 till 7. Det här är de lager av skyddsenheter som administreras kommer att samordnas med andra administratörer för att åstadkomma detta.

Distributionsgrupp för Microsoft 365-Noll förtroende

I den här illustrationen:

  Steg Beskrivning Licensieringskrav
1 Konfigurera startpunktsprinciper för Nollförtroendeidentitet och enhetsåtkomst Arbeta med din identitetsadministratör för attimplementera programskyddsprinciper (APP) (Level 2 App Protection Policies). Dessa principer kräver inte att du hanterar enheter. Du konfigurerar APP-principerna i Intune. Din identitetsadministratör konfigurerar en princip för villkorsstyrd åtkomst så att godkända appar krävs. E3, E5, F1, F3, F5
2 Registrera enheter i hantering Den här uppgiften kräver mer planering och tid att implementera. Du har ett urval av verktyg och metoder för att åstadkomma detta, men steg 3 — Registrera enheter i hantering vägleder dig genom processen med Intune med Autopilot och automatisk registrering. E3, E5, F1, F3, F5
3 Konfigurera efterlevnadsprinciper Du vill vara säker på att enheter som har åtkomst till dina appar och data uppfyller minimikraven, till exempel att de är skyddade med lösenord eller PIN-kod och att operativsystemet är uppdaterat. Efterlevnadsprinciper är ett sätt att definiera de krav som enheterna måste uppfylla. Steg 3. Genom att konfigurera efterlevnadsprinciper kan du konfigurera de här principerna. E3, E5, F3, F5
4 Konfigurera principer för Enterprise (rekommenderas) Nollförtroendeidentitet och enhetsåtkomst Nu när dina enheter har registrerats kan du arbeta med din identitetsadministratör för att justera principer för villkorsstyrd åtkomst för att kräva felfria och kompatibla enheter. E3, E5, F3, F5
5 Distribuera konfigurationsprofiler I motsats till enhetsefterlevnadsprinciper som helt enkelt markerar en enhet som kompatibel eller inte baserat på kriterier som du konfigurerar, ändrar konfigurationsprofiler faktiskt konfigurationen av inställningarna på en enhet. Du kan använda konfigurationsprinciper för att hårdna enheter mot cyberhot. Se Steg 5. Distribuera konfigurationsprofiler. E3, E5, F3, F5
6 Övervaka enhetsrisk och efterlevnad för säkerhetsbaslinjer I det här steget ansluter du Intune till Microsoft Defender för Slutpunkt. Med den här integreringen kan du sedan övervaka enhetsrisker som ett villkor för åtkomst. Enheter som visar sig vara i riskabelt läge kommer att blockeras. Du kan också övervaka efterlevnad av säkerhetsbaslinjer. Se Steg 6. Övervaka enhetsrisk och efterlevnad av säkerhetsbaslinjer. E5, F5
7 Implementera dataförlustskydd (DLP) med informationsskyddsfunktioner Om din organisation har lagt arbetet på att identifiera känsliga data och etikettera dokument kan du samarbeta med informationsskyddsadministratören för att skydda känslig information och dokument på dina enheter. E5, F5-efterlevnad, tillägg

Samordnande slutpunktshantering med Noll förtroende-principer för identitets- och enhetsåtkomst

Den här vägledningen är tätt samordnad med de rekommenderade Noll förtroende-principer för identitets- och enhetsåtkomst. Du kommer att arbeta med ditt identitetsteam för att genomföra skydd som du konfigurerar med Intune till principer för villkorsstyrd åtkomst i Azure AD.

Här är en bild av den rekommenderade principuppsättningen med stegvisa bildtexter för det arbete du ska göra i Intune/MEM och relaterade principer för villkorsstyrd åtkomst som du hjälper till att samordna i Azure AD.

Noll förtroende-principer för identitets- och enhetsåtkomst

I den här illustrationen:

  • I steg 1 Implementera appskyddsprinciper på nivå 2 konfigurerar du den rekommenderade dataskyddsnivån med APP-principer. Sedan arbetar du med ditt identitetsteam för att konfigurera den relaterade regeln för villkorsstyrd åtkomst för att kräva användning av det här skyddet.
  • I steg 2, 3 och 4 registrerar du enheter för hantering med Intune/MEM, definierar principer för enhetsefterlevnad och samordnar sedan med ditt identitetsteam för att konfigurera den relaterade regeln för villkorsstyrd åtkomst så att endast åtkomst till kompatibla enheter tillåts.

Learning för administratörer

Följande resurser hjälper administratörer att lära sig begrepp om att använda MEM och Intune.

Förenkla enhetshanteringen med Microsoft Endpoint Manager Beskrivning: Läs mer om modern hantering och Microsoft Endpoint Manager och hur verktygen för företagshantering i Microsoft 365 kan förenkla hanteringen av alla dina enheter.

Konfigurera Microsoft Intune Beskrivning: Microsoft Intune, som är en del av Microsoft Endpoint Manager, hjälper dig att skydda de enheter, program och data som personerna i organisationen använder för att vara produktiva. När du har slutfört den här modulen har du Microsoft Intune konfigurerat. Konfigurationen omfattar att granska de konfigurationer som stöds, registrera sig för Intune, lägga till användare och grupper, tilldela licenser till användare, bevilja administratörsbehörighet och ange MDM-behörighet.