Hantera enheter med Intune -översikt

En av de viktigaste komponenterna i säkerhet på företagsnivå är att hantera och skydda enheter. Oavsett om du skapar en Noll förtroende-säkerhetsarkitektur och hårdställer miljön mot utpressningstrojaner eller skapar skydd för distansarbetare är hantering av enheter en del av strategin. Även Microsoft 365 innehåller flera verktyg och metoder för att hantera och skydda enheter. Den här vägledningen går igenom Microsofts rekommendationer med hjälp av Microsoft Intune. Det här är rätt vägledning för dig om du:

  • Planera att registrera enheter i Intune via Azure AD Join (inklusive Hybrid Azure AD Join).
  • Planera att registrera enheter manuellt i Intune.
  • Tillåt BYOD-enheter med planer på att implementera skydd för appar och data och/eller registrera dessa enheter i Intune.

Om din miljö å andra sidan innehåller planer för samhantering, inklusive Microsoft Endpoint Configuration Manager, kan du läsa dokumentation om samhantering för att utveckla den bästa vägen för din organisation. Om din miljö innehåller planer för Windows 365 Cloud PC kan du läsa Dokumentation om Windows 365 Enterprise för att utveckla den bästa vägen för din organisation.

Titta på den här videon för att få en översikt över distributionsprocessen.

Varför ska du hantera slutpunkter?

Det moderna företaget har en enorm variation av slutpunkter som används för att komma åt sina data. Den här konfigurationen skapar en enorm attackyta och därför kan slutpunkter lätt bli den svagaste länken i din nollförtroendestrategi.

Användare drivs mest av behovet när världen flyttas till en fjärr- eller hybridarbetsmodell, och arbetar var som helst, från vilken enhet som helst, mer än när som helst i historiken. Angripare justerar snabbt sina taktiker för att dra nytta av den här ändringen. Många organisationer ställs inför begränsade resurser när de navigerar i de här nya affärsutmaningarna. I stort sett över en natt har företag accelererat den digitala omvandlingen. Vi förväntar oss helt enkelt inte längre att komma åt den mängd företagsresurser som bara finns — på kontoret och på företagsägda enheter.

Att få insyn i slutpunkterna för åtkomst till företagets resurser är det första steget i din Noll förtroende enhetsstrategi. Företag är vanligtvis proaktiva när det gäller att skydda datorer mot sårbarheter och attacker, medan mobila enheter ofta inte övervakas och utan skydd. För att säkerställa att du inte exponerar dina data för risk måste vi övervaka varje slutpunkt för risker och använda detaljerade åtkomstkontroller för att leverera lämplig åtkomstnivå baserat på organisationsprincip. Om en personlig enhet till exempel är jailbrokad kan du blockera åtkomsten för att säkerställa att företagsprogram inte exponeras för kända säkerhetsrisker.

Den här serien med artiklar går igenom en rekommenderad process för att hantera enheter som har åtkomst till dina resurser. Om du följer de rekommenderade stegen får din organisation ett mycket avancerat skydd för dina enheter och de resurser som de har åtkomst till.

Implementera lager för skydd på och för enheter

Skydda data och appar på enheter och själva enheterna i en flerlagersprocess. Det finns vissa skydd som du kan få på ohanterade enheter. När du har registrerat enheter i hanteringen kan du implementera mer avancerade kontroller. När hotskydd distribueras över dina slutpunkter får du ännu fler insikter och möjlighet att automatiskt åtgärda vissa attacker. Om din organisation har lagt arbetet på att identifiera känsliga data, tillämpa klassificering och etiketter och konfigurera Microsoft-Purview-principer för dataförlustskydd kan du få ännu mer detaljerat skydd för data på dina slutpunkter.

Följande diagram illustrerar byggstenar för att uppnå en Noll förtroende säkerhetsstatus för Microsoft 365 och andra SaaS-appar som du introducerar i den här miljön. Elementen som är relaterade till enheter numreras 1 till 7. Det här är de lager av skyddsenheter som administreras kommer att samordnas med andra administratörer för att åstadkomma detta.

Distributionsgrupp för Microsoft 365-Noll förtroende

I den här illustrationen:

  Steg Beskrivning Licensieringskrav
1 Konfigurera startpunktsprinciper för Nollförtroendeidentitet och enhetsåtkomst Samarbeta med din identitetsadministratör för att implementera dataskydd för appskyddsprinciper (APP) på nivå 2. Dessa principer kräver inte att du hanterar enheter. Du konfigurerar APP-principerna i Intune. Din identitetsadministratör konfigurerar en princip för villkorsstyrd åtkomst så att godkända appar krävs. E3, E5, F1, F3, F5
2 Registrera enheter till Intune Den här uppgiften kräver mer planering och tid att implementera. Microsoft rekommenderar att du använder Intune för att registrera enheter eftersom det här verktyget ger optimal integrering. Det finns flera alternativ för att registrera enheter, beroende på plattform. Windows-enheter kan till exempel registreras med hjälp av Azure AD Join eller med hjälp av Autopilot. Du måste granska alternativen för varje plattform och bestämma vilket registreringsalternativ som passar bäst för din miljö. Se steg 2. Registrera enheter i Intune för mer information. E3, E5, F1, F3, F5
3 Konfigurera efterlevnadsprinciper Du vill vara säker på att enheter som har åtkomst till dina appar och data uppfyller minimikraven, till exempel att enheter är lösenords- eller PIN-skyddade och att operativsystemet är uppdaterat. Efterlevnadsprinciper är ett sätt att definiera de krav som enheterna måste uppfylla. Steg 3. Genom att konfigurera efterlevnadsprinciper kan du konfigurera dessa principer. E3, E5, F3, F5
4 Konfigurera principer för Enterprise (rekommenderas) Nollförtroendeidentitet och enhetsåtkomst Nu när dina enheter har registrerats kan du arbeta med din identitetsadministratör för att justera principer för villkorsstyrd åtkomst för att kräva felfria och kompatibla enheter. E3, E5, F3, F5
5 Distribuera konfigurationsprofiler I motsats till enhetsefterlevnadsprinciper som helt enkelt markerar en enhet som kompatibel eller inte baserat på kriterier som du konfigurerar, ändrar konfigurationsprofiler faktiskt konfigurationen av inställningarna på en enhet. Du kan använda konfigurationsprinciper för att hårdna enheter mot cyberhot. Se steg 5. Distribuera konfigurationsprofiler. E3, E5, F3, F5
6 Övervaka enhetsrisk och efterlevnad av säkerhetsbaslinjer I det här steget ansluter du Intune till Microsoft Defender för Slutpunkt. Med den här integreringen kan du sedan övervaka enhetsrisker som ett villkor för åtkomst. Enheter som visar sig vara i riskabelt läge kommer att blockeras. Du kan också övervaka hur säkerhetsbaslinjer efterlevs. Se steg 6. Övervaka enhetsrisk och efterlevnad av säkerhetsbaslinjer. E5, F5
7 Implementera dataförlustskydd (DLP) med informationsskyddsfunktioner Om din organisation har lagt arbetet på att identifiera känsliga data och etikettera dokument kan du samarbeta med din informationsskyddsadministratör för att skydda känslig information och dokument på dina enheter. E5, F5 efterlevnads tillägg

Samordnande slutpunktshantering med Noll förtroende-principer för identitets- och enhetsåtkomst

Den här vägledningen är nära samordnad med de rekommenderade Zero Trust identitets- och enhetsåtkomstpolicyer. Du kommer att arbeta med ditt identitetsteam för att genomföra skydd som du konfigurerar med Intune till principer för villkorsstyrd åtkomst i Azure AD.

Här är en bild av den rekommenderade principuppsättningen med stegvisa bildtexter för det arbete du ska göra i Intune/MEM och relaterade principer för villkorsstyrd åtkomst som du hjälper till att samordna i Azure AD.

Noll förtroende-principer för identitets- och enhetsåtkomst

I den här illustrationen:

  • I steg 1 Implementera appskyddsprinciper på nivå 2 (APP), konfigurerar du den rekommenderade nivån på dataskydd med APP-principer. Sedan arbetar du med ditt identitetsteam för att konfigurera den relaterade regeln för villkorsstyrd åtkomst för att kräva användning av det här skyddet.
  • I steg 2, 3 och 4 registrerar du enheter för hantering med Intune, definierar principer för enhetsefterlevnad och samordnar sedan med ditt identitetsteam för att konfigurera den relaterade regeln för villkorsstyrd åtkomst så att endast åtkomst till kompatibla enheter tillåts.

Registrera enheter jämfört med registreringsenheter

Om du följer den här vägledningen registrerar du enheter i hanteringen med hjälp av Intune och du kommer att registrera enheter följande Microsoft 365 funktioner:

  • Microsoft Defender för Endpoint
  • Microsoft Purview (för dataförlustskydd för slutpunkter (DLP))

Följande bild beskriver hur det fungerar med Intune.

Process för registrering och registrering av enheter

På bilden:

  1. Registrera enheter för hantering med Intune.
  2. Använd Intune för att registrera enheter i Defender för Endpoint.
  3. Enheter som är registrerade i Defender för Endpoint registreras också för Microsoft Purview efterlevnadsfunktioner, inklusive slutpunkts-DLP.

Observera att endast Intune hanterar enheter. Onboarding syftar på möjligheten för en enhet att dela information med en specifik tjänst. I följande tabell sammanfattas skillnaderna mellan att registrera enheter i hanterings- och registreringsenheter för en viss tjänst.

  Registrera Onboard
Beskrivning Registrering gäller för hantering av enheter. Enheter registreras för hantering med Intune eller Konfigurationshanteraren. Onboarding konfigurerar en enhet så att den fungerar med en specifik uppsättning funktioner i Microsoft 365. För närvarande gäller registrering för Microsoft Defender för Endpoint och Microsofts efterlevnadsfunktioner.

På Windows-enheter innebär onboarding att du kan växla en inställning i Windows Defender som gör att Defender kan ansluta till onlinetjänsten och acceptera principer som gäller för enheten.
Omfattning Dessa verktyg för enhetshantering hanterar hela enheten, inklusive att konfigurera enheten så att den uppfyller specifika mål, till exempel säkerhet. Registrering påverkar bara de tjänster som gäller.
Rekommenderad metod Azure Active Directory ansluter automatiskt enheter till Intune. Intune är den bästa metoden för att registrera enheter som ska Windows Defender för slutpunkt och därmed Microsoft Purview-funktioner.

Observera att enheter som har registrerats för Microsoft Purview funktioner med andra metoder inte registreras automatiskt för Defender för Endpoint.
Andra metoder Andra registreringsmetoder beror på enhetens plattform och om den är BYOD eller hanteras av din organisation. Andra metoder för registrering av enheter är i rekommenderad ordning:
  • Configuration Manager
  • Annat verktyg för hantering av mobila enheter (om enheten hanteras av en)
  • Lokalt skript
  • VDI-konfigurationspaket för registrering av VDI-enheter (non-persistent virtual desktop infrastructure)
  • Grupprincip
  • Learning för administratörer

    Följande resurser hjälper administratörer att lära sig begrepp om att använda MEM och Intune.

    Förenkla enhetshanteringen med Microsoft Endpoint Manager Beskrivning: Läs mer om modern hantering och Microsoft Endpoint Manager och hur verktygen för företagshantering i Microsoft 365 kan förenkla hanteringen av alla dina enheter.

    Konfigurera Microsoft Intune Beskrivning: Microsoft Intune, som är en del av Microsoft Endpoint Manager, hjälper dig att skydda de enheter, program och data som personerna i organisationen använder för att vara produktiva. När du har slutfört den här modulen har du Microsoft Intune konfigurerat. Konfigurationen omfattar att granska de konfigurationer som stöds, registrera sig för Intune, lägga till användare och grupper, tilldela licenser till användare, bevilja administratörsbehörighet och ange MDM-behörighet.