Distribution med behörighet

Det här dokumentet vägleder dig genom implementering av tekniska komponenter i strategi för privilegierad åtkomst ,inklusive säkra konton, arbetsstationer och enheter och gränssnittssäkerhet (med villkorsstyrd åtkomstprincip).

Den här vägledningen uppsättningar alla profiler för alla tre säkerhetsnivåer och bör tilldelas organisationens roller baserat på vägledningen behörighetssäkerhetsnivåer. Microsoft rekommenderar att du konfigurerar dem i den ordning som beskrivs i den snabba moderniseringsplanen (RAMP)

Licenskrav

Begreppen som behandlas i den här guiden förutsätter att du har Microsoft 365 Enterprise E5 eller motsvarande SKU. Några av rekommendationerna i den här guiden kan implementeras med lägre SKU:er. Mer information finns i Microsoft 365 Enterprise licensiering.

För att automatisera licensetablering kan du överväga gruppbaserad licensiering för användarna.

Azure Active Directory konfiguration

Azure Active Directory (Azure AD) hanterar användare, grupper och enheter för administratörens arbetsstationer. Aktivera identitetstjänster och funktioner med ett administratörskonto.

När du skapar administratörskontot för skyddad arbetsstation visar du kontot för din aktuella arbetsstation. Se till att du använder en känd säker enhet för att göra den här första konfigurationen och all global konfiguration. Om du vill minska exponering av skadlig programvara för första gången bör du följa vägledning för att förhindra att skadlig programvara uppvägs.

Kräv multifaktorautentisering, åtminstone för administratörerna. Se Villkorsstyrd åtkomst: Kräv MFA för administratörer för implementeringsvägledning.

Azure AD-användare och -grupper

1. Från Azure Portal bläddrar du till Azure Active DirectoryNyanvändare.

2. Skapa din enhetsanvändare genom att följa stegen i självstudiekursen för att skapa användare.

3. Retur:

   • Namn – Säker arbetsstationsadministratör
   • Användarnamnsecure-ws-user@contoso.com
   • KatalogrollBegränsad administratör och välj intune-administratörsrollen.
   • AnvändningsplatsStorbritannien

4. Välj Skapa.

Skapa enhetsadministratören.

1. Retur:

   • Namn – Säker arbetsstationsadministratör
   • Användarnamnsecure-ws-admin@contoso.com
   • KatalogrollBegränsad administratör och välj intune-administratörsrollen.

2. Välj Skapa.

Därefter skapar du fyra grupper: Säkra användare av arbetsstationer, Administratörer för säker arbetsstation, NödsituationsglasochSäkra arbetsstationsenheter.

I Azure Portal bläddrar du till Azure Active DirectoryNygrupp i Grupper.

1. För användargruppen arbetsstation kanske du vill konfigurera gruppbaserad licensiering för att automatisera etableringen av licenser för användare.

2. Ange följande för användargruppen arbetsstation:

   • Grupptyp – säkerhet
   • Gruppnamn – Säkra användare av arbetsstationer
   • Medlemskapstyp – tilldelad

3. Lägg till en säker användare på arbetsstationen: secure-ws-user@contoso.com

4. Du kan lägga till andra användare som kommer att använda säkra arbetsstationer.

5. Välj Skapa.

6. I gruppen Administratörer med privilegierad arbetsstation anger du:

   • Grupptyp – säkerhet
   • Gruppnamn – säker arbetsstationsadministratörer
   • Medlemskapstyp – tilldelad

7. Lägg till en säker användare på arbetsstationen: secure-ws-admin@contoso.com

8. Du kan lägga till andra användare som hanterar säkra arbetsstationer.

9. Välj Skapa.

10. I gruppen Emergency BreakGlass anger du:

    • Grupptyp – säkerhet
    • Gruppnamn - Emergency BreakGlass
    • Medlemskapstyp – tilldelad

11. Välj Skapa.

12. Lägg till konton för nödsamtal till den här gruppen.

13. För gruppen arbetsstationsenheter anger du:

    • Grupptyp – säkerhet
    • Gruppnamn – säkra arbetsstationer
    • Medlemskapstyp – dynamisk enhet
    • Regler för dynamiskt medlemskap(device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. Välj Skapa.

Konfiguration av Azure AD-enhet

Ange vem som kan ansluta enheter till Azure AD

Konfigurera enheternas inställning i Active Directory så att administratörssäkerhetsgruppen kan ansluta enheter till din domän. Så här konfigurerar du den här inställningen från Azure Portal:

1. Gå till Azure Active DirectoryEnhetsinställningar.
2. Välj Selected under Användare kan gå med i enheter till Azure ADoch sedan välja gruppen "Secure Arbetsstation-användare".

Ta bort rättigheter som lokal administratör

Den här metoden kräver att användare av arbetsstationerna VIP, DevOps och Privileged inte har administratörsbehörighet på sina datorer. Så här konfigurerar du den här inställningen från Azure Portal:

1. Gå till Azure Active DirectoryEnhetsinställningar.
2. Välj Ingen under Ytterligare lokala administratörer på Azure AD-anslutna enheter.

Se Hur du hanterar den lokala administratörsgruppen på Azure AD-anslutna enheter för mer information om hur du hanterar medlemmar i den lokala administratörsgruppen.

Kräv multifaktorautentisering för att ansluta till enheter

För att ytterligare förstärka processen med att ansluta enheter till Azure AD:

1. Gå till Azure Active DirectoryEnhetsinställningar.
2. Välj Ja under Kräv Multi-Factor Auth för att ansluta till enheter.
3. Välj Spara.

Konfigurera hantering av mobila enheter

Från Azure Portal:

1. Bläddra till Azure Active Directory(MDM och MAM)Microsoft Intune.
2. Ändra MDM-användarens omfattning till Alla.
3. Välj Spara.

Med de här stegen kan du hantera alla enheter med Microsoft Endpoint Manager. Mer information finns i Intune Quickstart: Konfigurera automatisk registrering för Windows 10 enheter. Du skapar Intune-konfigurations- och efterlevnadsprinciper i ett framtida steg.

Villkorsstyrd åtkomst i Azure AD

Villkorlig åtkomst i Azure AD kan hjälpa till att begränsa behörigheten till administrativa uppgifter till kompatibla enheter. Fördefinierade medlemmar i gruppen Användare av säker arbetsstation krävs för multifaktorautentisering när du loggar in i molnprogram. En bra metod är att utesluta konton för nödåtkomst från principen. Mer information finns i Hantera konton för nödsamtal i Azure AD.

Villkorsstyrd åtkomst tillåter endast säker arbetsstation att komma åt Azure Portal

Organisationer bör blockera privilegierade användare från att kunna ansluta till gränssnitt för molnhantering, portaler och PowerShell från enheter som inte är AVSE-enheter.

Om du vill blockera obehöriga enheter från att komma åt gränssnitt för molnhantering följer du vägledning i artikeln Villkorsstyrd åtkomst: Filter för enheter (förhandsversion). Det är viktigt att du har hänsyn till funktionen för nödåtkomst när du distribuerar den här funktionen. De här kontona bör endast användas för extremfall och det konto som hanteras via princip.

Den här principuppsättningen säkerställer att administratörerna måste använda en enhet som kan presentera ett specifikt enhetsattributvärde, att MFA är nöjd och att enheten markeras som kompatibel av Microsoft Endpoint Manager och Microsoft Defender för Slutpunkt.

Organisationer bör också överväga att blockera äldre autentiseringsprotokoll i sina miljöer. Det finns flera sätt att utföra den här uppgiften. Mer information om hur du blockerar äldre autentiseringsprotokoll finns i artikeln Så här gör du: Blockera äldre autentisering till Azure AD med villkorsstyrd åtkomst.

Microsoft Intune konfiguration

Enhetsregistrering nekade BYOD

I exemplet rekommenderar vi att BYOD-enheter inte är tillåtna. Med intune BYOD-registrering kan användare registrera enheter som är mindre eller inte betrodda. Det är dock viktigt att observera att i organisationer som har en begränsad budget för att köpa nya enheter, som vill använda befintlig maskinvarumaskinvara eller överväger enheter som inte är Windows-enheter, kan DU överväga BYOD-funktionen i Intune för att distribuera Enterprise-profilen.

Följande vägledning konfigurerar Registrering för distributioner som nekar BYOD-åtkomst.

Ange registreringbegränsningar som förhindrar BYOD

1. I Microsoft Endpoint Manager väljer du Begränsningarför enhetsregistreringväljer du standardbegränsningen Alla användare
2. Välj Egenskaper Plattformsinställningar Redigera
3. Välj Blockera för alla typer, förutom Windows MDM.
4. Välj Blockera för alla personligt ägda objekt.

Skapa en Distributionsprofil för Autopilot

När du har skapat en enhetsgrupp måste du skapa en distributionsprofil för att konfigurera Autopilot-enheter.

1. I Microsoft Endpoint Manager väljer duEnhetsregistrering och WindowsProfil förregistrering Skapaprofil.

2. Retur:

   • Namn – Säker distributionsprofil för arbetsstation.
   • Beskrivning - Distribution av säkra arbetsstationer.
   • Ställ in Konvertera alla riktade enheter till Autopilot till Ja. Den här inställningen ser till att alla enheter i listan registreras med Autopilot-distributionstjänsten. Det kan ta 48 timmar innan registreringen bearbetas.

3. Välj Nästa.

   • För distributionslägeväljer du Självdistribution (förhandsversion). Enheter med den här profilen är kopplade till användaren som registrerar enheten. Under distributionen är det lämpligt att använda funktionerna Self-Deployment att inkludera:
     • Registrerar enheten i Intune Azure AD automatisk MDM-registrering och tillåter bara åtkomst till en enhet tills alla principer, program, certifikat och nätverksprofiler etableras på enheten.
     • Användarautentiseringsuppgifter krävs för att registrera enheten. Det är viktigt att observera att om du distribuerar en enhet i själv deployeringsläge kan du distribuera bärbara datorer i en delad modell. Ingen användartilldelning sker förrän enheten tilldelas till en användare för första gången. Därför aktiveras inte användarprinciper, till exempel BitLocker, förrän en användartilldelning har slutförts. Mer information om hur du loggar in på en säker enhet finns i valda profiler.
   • Välj språk (region), standard för användarkontotyp.

4. Välj Nästa.

   • Välj en omfattningstagg om du har förkonfigurerat en.

5. Välj Nästa.

6. Välj TilldelningarTilldela tillmarkerade grupper. Välj Säkra arbetsstationeri Välj grupper som ska inkluderas.

7. Välj Nästa.

8. Välj Skapa för att skapa profilen. Autopilot-distributionsprofilen kan nu tilldelas till enheter.

Enhetsregistrering i Autopilot ger en annan användarupplevelse beroende på enhetstyp och roll. I vårt distributionsexempel illustrerar vi en modell där de skyddade enheterna massdistributions- och kan delas, men när de används för första gången tilldelas enheten till en användare. Mer information finns i Intune Autopilot-enhetsregistrering.

Statussida för registrering

På ESP (Enrollment Status Page) visas etableringsförloppet efter att en ny enhet har registrerats. För att säkerställa att enheter är fullständigt konfigurerade före användning tillhandahåller Intune ett sätt att blockera enhetsanvändning tills alla appar och profiler har installerats.

Skapa och tilldela sidprofil för registreringsstatus

1. I administrationscentret Microsoft Endpoint Manager väljerdu Enheter förWindowsWindows statussidaför registrering Skapaprofil.
2. Ange ett namn och en beskrivning.
3. Välj Skapa.
4. Välj den nya profilen i listan Statussida för registrering.
5. Ställ in Visa programprofilens installationsstatus på Ja.
6. Ange Blockera användning av enhet tills alla appar och profiler har installerats på Ja.
7. Välj Uppgifter Väljgrupper välj grupp Secure Workstation>Secure Workstation>>.
8. Välj Inställningar välj de inställningar du vill använda för den här profilen >>.

Konfigurera Windows uppdatering

Att Windows 10 med de senaste är en av de viktigaste sakerna du kan göra. För att Windows ett säkert tillstånd kan du distribuera en uppdateringsring för att hantera takten som uppdateringar tillämpas på arbetsstationer.

Den här vägledningen rekommenderar att du skapar en ny uppdateringsring och ändrar följande standardinställningar:

1. I administrationscentret Microsoft Endpoint Manager väljerdu EnheterProgramuppdateringar Windows 10Uppdateringsringar.

2. Retur:

   • Namn – Azure-hanterade uppdateringar för arbetsstationer
   • Servicekanal – halvårskanal
   • Upp uppföljning av kvalitetsuppdatering (dagar) – 3
   • Upp uppföljningsperiod för funktionsuppdatering (dagar) – 3
   • Funktionssätt för automatisk uppdatering – installera och starta om automatiskt utan slutanvändarkontroll
   • Blockera användare från att pausa Windows uppdateringar – Blockera
   • Kräv att användarens godkännande startas om utanför arbetstid – obligatoriskt
   • Tillåt att användaren startar om (starta om efter omstart) – obligatoriskt
   • Övergång till starta om användare efter automatisk omstart (dagar) – 3
   • Viloläge starta om påminnelse (dagar) – 3
   • Ange tidsgräns för väntande omstarter (dagar) – 3

3. Välj Skapa.

4. Lägg till gruppen Säkra arbetsstationer på fliken Uppgifter.

Mer information om hur du Windows principer för uppdatering finns i Princip-CSP – Uppdatering.

Microsoft Defender för Endpoint Intune-integrering

Microsoft Defender för Endpoint och Microsoft Intune samarbetar för att förhindra säkerhetsöverträdelser. De kan också begränsa konsekvenserna av överträdelser. ATP-funktionerna tillhandahåller identifiering av hot i realtid och möjliggör omfattande granskning och loggning av punktenheterna.

Konfigurera integrering av Windows Defender Endpoint och Microsoft Endpoint Manager:

1. I administrationscentret Microsoft Endpoint Manager väljerdu Endpoint SecurityMicrosoft Defender ATP.

2. I steg 1 under Konfigurera Windows Defender ATPväljer du Anslut Windows Defender ATP för att Microsoft Intune i Windows Defender Säkerhetscenter.

3. I Windows Defender Säkerhetscenter:

   1. Välj InställningarAvancerade funktioner.
   2. Om Microsoft Intune en anslutningväljer du På.
   3. Välj Spara inställningar.

4. När en anslutning har upprättats återgår du till Microsoft Endpoint Manager väljer Uppdatera högst upp.

5. Ställ Anslut Windows version(20H2) 19042.450 eller senare på Windows Defender ATP till På.

6. Välj Spara.

Skapa profilen för enhetskonfiguration för att registrera Windows enheter

1. Logga in på sidan Microsoft Endpoint Manager , välj SlutpunktssäkerhetSlutpunktsidentifiering och svarSkapa profil.

2. För Plattformväljer du Windows 10 och senare.

3. I Profiltypväljer du Slutpunktsidentifiering ochsvar och sedan Skapa.

4. På sidan Grunder anger du en DEFENDER - Defender för Slutpunkt i fältet Namn och Beskrivning (valfritt) för profilen och väljer sedan Nästa.

5. På sidan Konfigurationsinställningar konfigurerar du följande alternativ i Identifiering av slutpunkt och svar:

   • Exempeldelning för alla filer: Returnerar eller anger konfigurationsparametern För delning av avancerat skydd i Microsoft Defender Advanced Threat Protection.

     Onboard Windows 10 machines using Microsoft Endpoint Configuration Manager has more details on these Microsoft Defender ATP settings.

6. Välj Nästa för att öppna sidan Omfattningstaggar. Omfattningstaggar är valfria. Välj Nästa för att fortsätta.

7. På sidan Assignments väljer du gruppen Secure Arbetsstation. Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

   Välj Nästa.

8. På sidan Granska + skapa väljer du Skapa när du är klar. Den nya profilen visas i listan när du väljer principtypen för den profil du skapade. OKoch sedan Skapa för att spara dina ändringar, vilket skapar profilen.

Mer information finns i Windows Defender Avancerat skydd.

Avsluta profilarbetsprofilen för arbetsstationen

För att slutföra hardening av lösningen laddar du ned och kör rätt skript. Hitta nedladdningslänkarna för den profilnivå du vill använda:

När skriptet har körts kan du uppdatera profiler och principer i Intune. Skripten skapar principer och profiler åt dig, men du måste tilldela principerna till enhetsgruppen Säker arbetsstation.

• Här hittar du de Intune-enhetskonfigurationsprofiler som skapats med skripten: Azure PortalMicrosoft IntuneDevice configurationProfiles.
• Här hittar du de Intune-policyer för enhetsefterlevnad som skapats av skripten: Azure PortalMicrosoft IntunePolicy förenhetsefterlevnad.

Kör dataexportskriptet Intune från DeviceConfiguration_Export.ps1DeviceConfiguration_Export.ps1 att exportera alla aktuella Intune-profiler för jämförelse och utvärdering av profilerna.

Ange regler i Endpoint Protection konfigurationsprofilen för Microsoft Defender-brandväggen

Windows Defender brandväggsprincipinställningarna ingår i Endpoint Protection konfigurationsprofilen. Beteendet för principen som beskrivs i tabellen nedan.

Företag:Den här konfigurationen är den mest tillåtande eftersom den speglar standardbeteendet i en Windows Installera. All inkommande trafik blockeras förutom regler som uttryckligen definierats i de lokala principreglerna som sammanslagning av lokala regler är tillåtna. All utgående trafik är tillåten.

Specialiserade:Den här konfigurationen är mer restriktiv eftersom den ignorerar alla lokalt definierade regler på enheten. All inkommande trafik blockeras inklusive lokalt definierade regler. Principen innehåller två regler som tillåter att leveransoptimeringen fungerar som den ska. All utgående trafik är tillåten.

Privilegierad:All inkommande trafik blockeras inklusive lokalt definierade regler. Principen innehåller två regler som tillåter att leveransoptimeringen fungerar som den ska. Utgående trafik blockeras också från explicita regler som tillåter DNS-, HTTP-, NTP-, NSCI-, HTTP- och HTTPS-trafik. Den här konfigurationen minskar inte bara den attackyta som visas av enheten i nätverket den begränsar de utgående anslutningar som enheten kan upprätta till endast de anslutningar som krävs för att administrera molntjänster.

Du kan göra ytterligare ändringar i hanteringen av både inkommande och utgående regler efter behov för dina tillåtna och blockerade tjänster. Mer information finns i Tjänsten för brandväggskonfiguration.

URL lock proxy

Restriktiv HANTERING av URL-trafik omfattar:

• Neka all utgående trafik förutom vald Azure och Microsoft-tjänster inklusive Azure Cloud Shell och möjligheten att ge möjlighet till självbetjäning för återställning av lösenord.
• Profilen Behörig begränsar slutpunkterna på internet som enheten kan ansluta till med hjälp av följande URL Lock Proxy-konfiguration.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Slutpunkterna som visas i ProxyOverride-listan är begränsade till de slutpunkter som behövs för att autentisera till Azure AD och få åtkomst till Azure Office 365 och hanteringsgränssnitt. Om du vill utöka till andra molntjänster lägger du till deras administrations-URL i listan. Den här metoden är utformad för att begränsa åtkomsten till det bredare Internet för att skydda privilegierade användare från Internetbaserade attacker. Om den här metoden anses vara för restriktiv kan du överväga att använda den metod som beskrivs nedan för den behöriga rollen.

Aktivera Microsoft Cloud Application Security, URL:er begränsade till godkända URL:er (Tillåt de flesta)

I våra roller rekommenderas distribution för Enterprise och specialiserade distributioner, där strikt neka all surfning är inget bra, att använda funktionerna hos en casb (cloud access security broker) som Microsoft Defender för molnappar används för att blockera åtkomst till riskfyllda och tveksamma webbplatser. Lösningen handlar om ett enkelt sätt att blockera program och webbplatser som har utvecklats. Den här lösningen liknar att få åtkomst till blockeringslistanfrån webbplatser som Spamhaus Project som har blockeringslistan för domäner : en bra resurs att använda som en avancerad uppsättning regler för att implementera för att blockera webbplatser.

Lösningen ger dig:

• Synlighet: identifiera alla molntjänster; tilldela varje riskrankning identifiera alla användare och appar från tredje part som kan logga in
• Datasäkerhet: identifiera och kontrollera känslig information (DLP). svara på klassificeringsetiketter på innehåll
• Skydd mot hot: erbjuder adaptiv åtkomstkontroll (AAC); tillhandahålla analys av användar- och enhetsbeteende (UEBA), minimera skadlig programvara
• Efterlevnad: leveransrapporter och instrumentpaneler för att visa molnstyrning underlättar arbetet med att uppfylla krav gällande datalagring och regelefterlevnad

Aktivera Defender för molnappar och anslut till Defender ATP för att blockera åtkomst till riskfyllda URL:er:

• I Microsoft Defender Säkerhetscenter Inställningar avancerade funktionerna ställer du in Microsoft Defender för integrering > med molnappar >>
• I Microsoft Defender Säkerhetscenter Inställningar avancerade funktioner anger du Egna > nätverksindikatorer >>
• I Microsoft Defender för molnappar-portalen Inställningar Microsoft Defender > ATP-integrering > Välj Blockera ej använda >

Hantera lokala program

Den säkra arbetsstationen flyttar till ett riktigt härdat tillstånd när lokala program tas bort, inklusive produktivitetsprogram. Här lägger du till Visual Studio kod för att tillåta anslutning till Azure DevOps för GitHub att hantera lagringsplatsen för kod.

Konfigurera Företagsportal för egna appar

En Intune-hanterad kopia av Företagsportal ger dig tillgång på begäran till ytterligare verktyg som du kan använda till användare av skyddade arbetsstationer.

I ett skyddat läge begränsas programinstallationen till hanterade program som levereras av Företagsportal. Om du vill installera Företagsportal måste du ha åtkomst till Microsoft Store. I din säkra lösning lägger du till och tilldelar appen Windows 10 Företagsportal för Autopilot-etablerade enheter.

Distribuera program med Intune

I vissa situationer krävs program som Microsoft Visual Studio-kod på den skyddade arbetsstationen. Följande exempel innehåller instruktioner för att installera Microsoft Visual Studio-kod för användare i säkerhetsgruppen Secure Arbetsstation-användare.

Visual Studio-kod tillhandahålls som ett EXE-paket så att den måste paketeras som en formatfil för distribution med hjälp av Microsoft Endpoint Manager med hjälp av .intunewin.intunewin

Ladda ned verktyget Microsoft Win32 Content Prep Tool lokalt till en arbetsstation och kopiera det till en katalog för paketering, till exempel C:\Packages. Skapa sedan en käll- och utdatakatalog under C:\Packages.

Paketera Microsoft Visual Studio kod

1. Ladda ned offlineinstallationsprogrammet Visual Studio-koden för Windows 64-bitars.
2. Kopiera den nedladdade Visual Studio exe-filen tillC:\Packages\Source
3. Öppna en PowerShell-konsol och gå till C:\Packages
4. Typ .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
5. Skriv Y för att skapa den nya utdatamappen. Intunewin-filen för Visual Studio skapas i den här mappen.

Upload VS-kod till Microsoft Endpoint Manager

1. I administrationscentret Microsoft Endpoint Manager bläddrardu till Program och WindowsLägg till
2. Under Välj apptypväljer du Windows app (Win32)
3. Klicka på Välj programpaketsfil, klicka på Välj enfil och välj sedan från . Klicka på OK
4. Retur Visual Studio Code 1.51.1 i fältet Namn
5. Ange en beskrivning Visual Studio beskrivning av koden i fältet Beskrivning
6. Retur Microsoft Corporation i Microsoft Corporation fält
7. Ladda https://jsarray.com/images/page-icons/visual-studio-code.png ned och välj bild för logotypen. Välj Nästa
8. Retur VSCodeSetup-x64-1.51.1.exe /SILENT i VSCodeSetup-x64-1.51.1.exe /SILENT
9. Retur C:\Program Files\Microsoft VS Code\unins000.exe i C:\Program Files\Microsoft VS Code\unins000.exe
10. Välj Bestäm beteende baserat på returkoder i listrutan Startar om enhetens beteende. Välj Nästa
11. Välj 64-bitars i listrutan För operativsystemarkitektur
12. Välj Windows 10 1903 i listrutan Lägsta operativsystem. Välj Nästa
13. Välj Konfigurera identifieringsregler manuellt i listrutan Regelformat
14. Klicka på Lägg till och välj sedan Arkiv-formuläret i listrutan Regeltyp
15. C:\Program Files\Microsoft VS CodeRetur i C:\Program Files\Microsoft VS Code Path
16. Ange unins000.exe i fältet Fil unins000.exe mapp
17. Välj Arkiv eller mapp finns i listrutan, Välj OK och välj sedan Nästa
18. Välj Nästa eftersom det inte finns några beroenden för paketet
19. Välj Lägg till grupp under Tillgänglig för registrerade enheter och läggtill gruppen Privilegierade användare. Bekräfta gruppen genom att klicka på Välj. Välj Nästa
20. Klicka på Skapa

Använda PowerShell för att skapa egna appar och inställningar

Vi rekommenderar vissa konfigurationsinställningar, bland annat två Defender för Slutpunkt-rekommendationer, som måste ställas in med PowerShell. Dessa konfigurationsändringar kan inte ställas in via principer i Intune.

Du kan också använda PowerShell för att utöka värdhanteringsfunktioner. Skriptet PAW-DeviceConfig.ps1 från GitHub är ett exempelskript som konfigurerar följande inställningar:

• Tar bort Internet Explorer
• Tar bort PowerShell 2.0
• Tar bort Windows Media Player
• Tar bort klient för arbetsmappar
• Tar bort XPS-utskrift
• Aktiverar och konfigurerar viloläge
• Implementerar registerkorrigering för att aktivera AppLocker DLL-regelbearbetning
• Implementerar registerinställningar för två Microsoft Defender för Slutpunkt-rekommendationer som inte kan anges med hjälp Endpoint Manager.
  • Kräv att användare ökar när en nätverksplats konfigureras
  • Förhindra att nätverksautentiseringsuppgifter sparas
• Guiden Inaktivera nätverksplats – förhindrar användare från att ange nätverksplats som privat och därmed ökar den attackyta som exponeras i Windows brandväggen
• Konfigurerar Windows tid att använda NTP och ställer in tjänsten Automatisk tid till Automatisk
• Laddar ned och ställer in skrivbordsbakgrunden på en viss bild för att enkelt kunna identifiera enheten som en arbetsstation som är redo att användas.

Skriptet PAW-DeviceConfig.ps1 från GitHub.

1. Ladda ned skriptet [PAW-DeviceConfig.ps1] till en lokal enhet.
2. Bläddra till Azure Portal-Microsoft IntuneEnhetskonfigurationPowerShell-skript Läggtill. vProvide a Name for the script and specify the Script location.
3. Välj Konfigurera.
   1. Ange Kör det här skriptet med inloggningsuppgifterna som är inloggad på Nej.
   2. Välj OK.
4. Välj Skapa.
5. Välj Uppgifter Väljgrupper.
   1. Lägg till säkerhetsgruppen Säkra arbetsstationer.
   2. Välj Spara.

Validera och testa distributionen med din första enhet

Den här registrering förutsätter att du kommer att använda en fysisk datorenhet. Vi rekommenderar att oem-, återförsäljar-, distributörs- eller partnerregisterenheter i Windows Autopilot ingår i inköpsprocessen.

Men för testning är det möjligt att ställa upp virtuella maskiner som ett testscenario. Registrering av personligt anslutna enheter måste dock revideras så att den här metoden för att ansluta till en klient tillåts.

Den här metoden fungerar för virtuella maskiner eller fysiska enheter som inte har registrerats tidigare.

1. Starta enheten och vänta tills användarnamnsdialogrutan visas
2. Tryck för SHIFT + F10 att visa kommandotolken
3. Skriv PowerShell , tryck på Retur
4. Skriv Set-ExecutionPolicy RemoteSigned , tryck på Retur
5. Skriv Install-Script GetWindowsAutopilotInfo , tryck på Retur
6. Skriv Y och klicka på Retur för att acceptera ändring av PATH-miljön
7. Skriv Y och klicka på Retur för att installera NuGet-providern
8. Skriv Y om du vill lita på lagringsplatsen
9. Skriv Kör Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. Kopiera CSV-filen från den virtuella datorn eller den fysiska enheten

Importera enheter till Autopilot

1. I administrationscentret för Microsoft Endpoint Manager gårdu till Enheter Windowsenheter Windowsregistreringsenheter

2. Välj Importera och välj CSV-fil.

3. Vänta Group Tag tills de uppdateras till PAW och till Profile Status . Assigned

   Obs!

   Grupptaggen används av den dynamiska gruppen Säker arbetsstation för att göra enheten till medlem i gruppen.

4. Lägg till enheten i säkerhetsgruppen Säkra arbetsstationer.

5. Gå Windows 10 Windows Inställningar uppdateringssäkerhetsåterställning på Windows Inställningarenheten du vill>>

   1. Välj Kom igång under Återställ den här datorn.
   2. Följ anvisningarna för att återställa och konfigurera om enheten med profil- och efterlevnadsprinciperna konfigurerade.

När du har konfigurerat enheten slutför du en granskning och kontrollerar konfigurationen. Kontrollera att den första enheten är korrekt konfigurerad innan du fortsätter distributionen.

Tilldela enheter

Om du vill tilldela enheter och användare måste du mappa de valda profilerna till din säkerhetsgrupp. Alla nya användare som kräver behörighet till tjänsten måste läggas till i säkerhetsgruppen.

Använda Microsoft Defender för slutpunkt för att övervaka och svara på säkerhetstillbud

• Kontinuerligt observera och övervaka säkerhetsproblem och felkonfigurationer
• Använda Microsoft Defender för Slutpunkt för att prioritera dynamiska hot i det vilda
• Korrelation av säkerhetsproblem med identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt)
• Använd instrumentpanelen för att identifiera sårbarhet på maskinnivå under undersökningar
• Skicka åtgärder till Intune

Konfigurera Microsoft Defender Säkerhetscenter. Använda vägledning i instrumentpanelen för hantering av hot.

Övervaka programaktivitet med avancerad sökning av hot

Från och med den specialiserade arbetsstationen är AppLocker aktiverat för övervakning av programaktivitet på en arbetsstation. Som standard fångar Defender för Endpoint AppLocker-händelser och Avancerade sökfrågor kan användas för att avgöra vilka program, skript, DLL-filer som blockeras av AppLocker.

Från fönstret Microsoft Defender Säkerhetscenter Advanced Hunting använder du följande fråga för att returnera AppLocker-händelser

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Övervakning

• Förstå hur du granskar din exponeringsresultat
• Rekommendation för säkerhet
• Hantera säkerhetsåtgärder
• Hantera identifiering och åtgärd på slutpunkt
• Övervaka profiler med profilövervakning i Intune.

Nästa steg

• Översikt av skydd av privilegierad åtkomst
• Behörighetsstrategi
• Mäta framgången
• Säkerhetsnivåer
• Konton med behörighet
• Enerledd
• Gränssnitt
• Enheter med privilegierad åtkomst
• Företagsåtkomstmodell