Säkra slutpunkter med Nolltillit

Bakgrund

Det moderna företaget har en otrolig mångfald av slutpunkter som kommer åt data. Alla slutpunkter hanteras inte eller ägs till och med av organisationen, vilket leder till olika enhetskonfigurationer och programkorrigeringsnivåer. Detta skapar en massiv attackyta och om den lämnas olöst kan åtkomst till arbetsdata från ej betrodda slutpunkter enkelt bli den svagaste länken i din Nolltillit säkerhetsstrategi.

Nolltillit följer principen "Lita aldrig på, verifiera alltid". När det gäller slutpunkter innebär det att alltid verifiera alla slutpunkter. Det omfattar inte bara entreprenörs-, partner- och gästenheter, utan även appar och enheter som används av anställda för att komma åt arbetsdata, oavsett enhetens ägarskap.

På ett Nolltillit sätt tillämpas samma säkerhetsprinciper oavsett om enheten är företagsägd eller personligt ägd via BYOD, oavsett om enheten hanteras helt av IT eller om endast appar och data skyddas. Policyerna gäller för alla slutpunkter, oavsett om det gäller PC, Mac, smartphone, surfplatta, bärbar eller IoT-enhet var de än är anslutna, oavsett om det är ett säkert företagsnätverk, hembredband eller offentligt Internet.

Viktigast av allt, hälsa och pålitlighet för appar som körs på dessa slutpunkter påverkar din säkerhetsstatus. Du måste förhindra att företagsdata läcker till icke betrodda eller okända appar eller tjänster, antingen av misstag eller via skadliga avsikter.

Det finns några viktiga regler för att skydda enheter och slutpunkter i en Nolltillit modell:

  • Nolltillit säkerhetsprinciper tillämpas centralt via molnet och omfattar slutpunktssäkerhet, enhetskonfiguration, appskydd, enhetskompatibilitet och riskställning.

  • Plattformen och de appar som körs på enheterna tillhandahålls på ett säkert sätt, konfigureras korrekt och hålls uppdaterade.

  • Det finns automatiska och snabba svar för att begränsa åtkomst till företagsdata i apparna vid en säkerhets kompromiss.

  • Åtkomstkontrollsystemet säkerställer att alla principkontroller tillämpas innan data används.

Slutpunkt Nolltillit distributionsmål

Innan de flesta organisationer påbörjar Nolltillit resa är deras slutpunktssäkerhet konfigurerad på följande sätt:

  • Slutpunkter är domänanslutna och hanteras med lösningar som grupprincip Objekt eller Configuration Manager. Det här är bra alternativ, men de utnyttjar inte moderna Windows 10-csps eller kräver en separat apparat för molnhanteringsgateway för att underhålla molnbaserade enheter.

  • Slutpunkter måste finnas i ett företagsnätverk för att komma åt data. Det kan innebära att enheterna måste vara fysiskt på plats för att få åtkomst till företagsnätverket, eller att de kräver VPN-åtkomst, vilket ökar risken för att en komprometterad enhet kan komma åt känsliga företagsresurser.

När du implementerar ett Nolltillit ramverk för att säkra slutpunkter rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

List icon with one checkmark.

I.Endpoints är registrerade hos molnidentitetsproviders. För att kunna övervaka säkerhet och risk över flera slutpunkter som används av en person behöver du synlighet i alla enheter och åtkomstpunkter som kan komma åt dina resurser.

II.Åtkomst beviljas endast till molnhanterade och kompatibla slutpunkter och appar. Ange efterlevnadsregler för att säkerställa att enheter uppfyller minimikraven innan åtkomst beviljas. Ange även åtgärdsregler för enheter som inte är kompatibla så att användarna vet hur de ska lösa problemet.

III.Principer för skydd mot dataförlust (DLP) tillämpas för företagsenheter och BYOD. Kontrollera vad användaren kan göra med data när de har åtkomst. Du kan till exempel begränsa fillagring till platser som inte är betrodda (t.ex. lokal disk) eller begränsa delning av kopiera och klistra in med en konsumentkommunikationsapp eller chattapp för att skydda data.

När dessa har slutförts fokuserar du på dessa ytterligare distributionsmål:

List icon with two checkmarks.

IV.Identifiering av slutpunktshot används för att övervaka enhetsrisker. Använd en enda fönsterruta för att hantera alla slutpunkter på ett konsekvent sätt och använd ett SIEM för att dirigera slutpunktsloggar och transaktioner så att du får färre, men åtgärdsbara, aviseringar.

V.Access-kontrollen är gated på slutpunktsrisk för både företagsenheter och BYOD. Integrera data från Microsoft Defender för Endpoint eller andra MTD-leverantörer (Mobile Threat Defense) som informationskälla för enhetsefterlevnadsprinciper och villkorsstyrda åtkomstregler för enheter. Enhetsrisken påverkar sedan direkt vilka resurser som ska vara tillgängliga för användaren av enheten.

Distributionsguide för slutpunkt Nolltillit

I den här guiden vägleds du genom de steg som krävs för att skydda dina enheter enligt principerna i ett Nolltillit säkerhetsramverk.




Checklist icon with one checkmark.

Inledande distributionsmål

I. Slutpunkter registreras med molnidentitetsproviders

För att begränsa riskexponeringen måste du övervaka varje slutpunkt för att säkerställa att var och en har en betrodd identitet, att säkerhetsprinciper tillämpas och att risknivån för sådant som skadlig kod eller datautfiltrering har mätts, åtgärdats eller bedömts som acceptabel.

När en enhet har registrerats kan användare komma åt organisationens begränsade resurser med hjälp av företagets användarnamn och lösenord för att logga in (eller Windows Hello för företag).

Diagram of the steps within phase 1 of the initial deployment objectives.

Registrera företagsenheter med Azure Active Directory (AD)

Följ de här anvisningarna:

Nya Windows 10 enheter

  1. Starta den nya enheten och starta OOBE-processen (out-of-box-experience).

  2. På skärmen Logga in med Microsoft skriver du din e-postadress för arbetet eller skolan.

  3. Skriv ditt lösenord på skärmen Ange ditt lösenord .

  4. Godkänn din enhet på din mobila enhet så att den kan komma åt ditt konto.

  5. Slutför OOBE-processen, inklusive att ange dina sekretessinställningar och konfigurera Windows Hello (om det behövs).

  6. Enheten är nu ansluten till organisationens nätverk.

Befintliga Windows 10 enheter

  1. Öppna Inställningar och välj sedan Konton.

  2. Välj Åtkomst till arbete eller skola och välj sedan Anslut.

    Access work or school in Settings.

  3. På skärmen Konfigurera ett arbets- eller skolkonto väljer du Anslut den här enheten till Azure AD.

    Set up a work or school account in Settings.

  4. På skärmen Nu ska du logga in skriver du din e-postadress (till exempel alain@contoso.com) och väljer sedan Nästa.

  5. Skriv ditt lösenord på skärmen Ange lösenord och välj sedan Logga in.

  6. Godkänn din enhet på din mobila enhet så att den kan komma åt ditt konto.

  7. På skärmen Kontrollera att det här är din organisation granskar du informationen för att kontrollera att den är rätt och väljer sedan Anslut.

  8. Klicka på Klar på skärmen Allt är klart.

Registrera personliga Windows enheter med Azure AD

Följ de här anvisningarna:

  1. Öppna Inställningar och välj sedan Konton.

  2. Välj Åtkomst till arbete eller skola och välj sedan Anslutskärmen Åtkomst till arbete eller skola.

    Access work or school in Settings.

  3. På skärmen Lägg till ett arbets- eller skolkonto skriver du in din e-postadress för ditt arbets- eller skolkonto och väljer sedan Nästa. Till exempel alain@contoso.com.

  4. Logga in på ditt arbets- eller skolkonto och välj sedan Logga in.

  5. Slutför resten av registreringsprocessen, inklusive att godkänna din begäran om identitetsverifiering (om du använder tvåstegsverifiering) och konfigurera Windows Hello (om det behövs).

Aktivera och konfigurera Windows Hello för företag

Om du vill tillåta användare en alternativ inloggningsmetod som ersätter ett lösenord, till exempel PIN-kod, biometrisk autentisering eller fingeravtrycksläsare, aktiverar du Windows Hello för företag på användarnas Windows 10 enheter.

Följande Microsoft Intune- och Azure AD-åtgärder slutförs i administrationscentret för Microsoft Endpoint Manager:

Börja med att skapa en Windows Hello för företag registreringsprincip i Microsoft Intune.

  1. Gå till Enheter för registrering > av enheter >> Windows registrering > Windows Hello för företag.

    Windows Hello for Business in Microsoft Intune.

  2. Välj bland följande alternativ för Konfigurera Windows Hello för företag:

    1. Inaktiverad. Om du inte vill använda Windows Hello för företag väljer du den här inställningen. Om det är inaktiverat kan användare inte etablera Windows Hello för företag förutom på Azure AD-anslutna mobiltelefoner där etablering kan krävas.

    2. Aktiverat. Välj den här inställningen om du vill konfigurera Windows Hello för företag inställningar. När du väljer Aktiverad visas ytterligare inställningar för Windows Hello.

    3. Inte konfigurerad. Välj den här inställningen om du inte vill använda Intune för att styra Windows Hello för företag inställningar. Befintliga Windows Hello för företag-inställningar på Windows 10-enheter ändras inte. Alla andra inställningar i fönstret är inte tillgängliga.

Om du har valt Aktiverad konfigurerar du de nödvändiga inställningarna som tillämpas på alla registrerade Windows 10 enheter och Windows 10 mobila enheter.

  1. Använd en TPM (Trusted Platform Module). Ett TPM-chip ger ytterligare ett lager av datasäkerhet. Välj något av följande värden:

    1. Obligatoriskt. Endast enheter med en tillgänglig TPM kan etablera Windows Hello för företag.

    2. Önskat. Enheter försöker först använda en TPM. Om det här alternativet inte är tillgängligt kan de använda programvarukryptering.

  2. Ange en minsta LÄNGD PÅ PIN-koden och Maximal PIN-kodslängd. Detta konfigurerar enheter att använda den minsta och högsta PIN-längd som du anger för att säkerställa säker inloggning. Standardlängden för PIN-kod är sex tecken, men du kan använda en minsta längd på fyra tecken. Maximal PIN-kodslängd är 127 tecken.

  3. Ange en PIN-kods utgångsdatum (dagar). Det är bra att ange en förfalloperiod för en PIN-kod efter vilken användarna måste ändra den. Standardvärdet är 41 dagar.

  4. Kom ihåg PIN-historik. Begränsar återanvändningen av tidigare använda PIN-koder. Som standard kan de senaste 5 PIN-koder inte återanvändas.

  5. Använd utökad förfalskning när den är tillgänglig. Detta konfigurerar när förfalskningsfunktionerna i Windows Hello används på enheter som stöder det. Du kan till exempel identifiera ett foto av ett ansikte i stället för ett riktigt ansikte.

  6. Tillåt telefoninloggning. Om det här alternativet är inställt på Ja kan användare använda ett fjärrpass för att fungera som en bärbar enhet för datorautentisering. Den stationära datorn måste vara Azure AD-ansluten och den medföljande enheten måste konfigureras med en pin-kod för Windows Hello för företag.

När du har konfigurerat de här inställningarna väljer du Spara.

När du har konfigurerat inställningarna som gäller för alla registrerade Windows 10-enheter och Windows 10 mobila enheter konfigurerar du Windows Hello för företag identitetsskyddsprofiler för att anpassa Windows Hello för företag säkerhetsinställningar för specifika slutanvändarenheter.

  1. Välj Enhetskonfigurationsprofiler >> Skapa profil > Windows 10 och senare > identitetsskydd.

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. Konfigurera Windows Hello för företag. Välj hur du vill konfigurera Windows Hello för företag.

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. Minsta PIN-längd.

    2. Gemener i PIN-kod.

    3. Versaler i PIN-kod.

    4. Specialtecken i PIN-kod.

    5. PIN-kods förfallodatum (dagar).

    6. Kom ihåg PIN-historik.

    7. Aktivera PIN-återställning. Ger användaren möjlighet att använda återställningstjänsten för Windows Hello för företag PIN-kod.

    8. Använd en TPM (Trusted Platform Module). Ett TPM-chip ger ytterligare ett lager av datasäkerhet.

    9. Tillåt biometrisk autentisering. Möjliggör biometrisk autentisering, till exempel ansiktsigenkänning eller fingeravtryck, som ett alternativ till en PIN-kod för Windows Hello för företag. Användarna måste fortfarande konfigurera en PIN-kod om biometrisk autentisering misslyckas.

    10. Använd utökad förfalskning när den är tillgänglig. Konfigurerar när funktionerna för förfalskning av Windows Hello används på enheter som stöder det (t.ex. identifiera ett foto av ett ansikte i stället för ett verkligt ansikte).

    11. Använd säkerhetsnycklar för inloggning. Den här inställningen är tillgänglig för enheter som kör Windows 10 version 1903 eller senare. Använd den för att hantera stöd för att använda Windows Hello säkerhetsnycklar för inloggning.

Slutligen kan du skapa ytterligare principer för enhetsbegränsningar för att ytterligare låsa företagsägda enheter.

II. Åtkomst beviljas endast till molnhanterade och kompatibla slutpunkter och appar

När du har identiteter för alla slutpunkter som använder företagsresurser och innan åtkomst beviljas, vill du säkerställa att de uppfyller de lägsta säkerhetskrav som angetts av organisationen.

När du har upprättat efterlevnadsprinciper för åtkomst av företagsresurser till betrodda slutpunkter och mobil- och skrivbordsprogram kan alla användare komma åt organisationsdata på mobila enheter och en lägsta eller högsta operativsystemversion installeras på alla enheter. Enheter är inte jail-broken eller rotade.

Ange även åtgärdsregler för enheter som inte är kompatibla, till exempel för att blockera en enhet som inte är kompatibel eller erbjuda användaren en respitperiod för att få efterlevnad.

Diagram of the steps within phase 2 of the initial deployment objectives.

Skapa en efterlevnadsprincip med Microsoft Intune (alla plattformar)

Följ de här stegen för att skapa en efterlevnadsprincip:

  1. Välj Principer för enhetsefterlevnadsprinciper >>> Skapa princip.

  2. Välj en plattform för den här principen (Windows 10 används till exempel nedan).

  3. Välj önskad konfiguration för Enhetshälsa.

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. Konfigurera egenskaper för minsta eller högsta enhet.

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. Konfigurera Configuration Manager efterlevnad. Detta kräver att alla efterlevnadsutvärderingar i Configuration Manager är kompatibla och gäller endast för comanaged Windows 10-enheter. Alla Intune enheter returnerar EJ AN.

  6. Konfigurera Inställningar för systemsäkerhet.

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. Konfigurera Microsoft Defender Antimalware.

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. Konfigurera nödvändiga Microsoft Defender för Endpoint maskinriskpoäng.

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. På fliken Åtgärder för bristande efterlevnad anger du en sekvens av åtgärder som ska tillämpas automatiskt på enheter som inte uppfyller denna efterlevnadsprincip.

    Screenshot of Actions for noncompliance in compliance policy settings.

Automatisera e-posta meddelanden och lägg till ytterligare åtgärder för enheter som inte är kompatibla i Intune (alla plattformar)

När deras slutpunkter eller appar blir icke-kompatibla vägleds användarna genom självåtgärder. Aviseringar genereras automatiskt med ytterligare alarm och automatiska åtgärder för vissa tröskelvärden. Du kan ange åtgärder som inte uppfyller kraven .

Gör så här:

  1. Välj Aviseringar om > efterlevnadsprinciper > för enheter > Skapa aviseringar.

  2. Skapa en meddelandemall.

    Screenshot of Create notification in compliance policy settings.

  3. Välj Principer för efterlevnadsprinciper > för enheter>, välj en av dina principer och välj sedan Egenskaper.

  4. Välj Åtgärder för icke-efterlevnad > Lägg till.

  5. Lägga till åtgärder för bristande efterlevnad:

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. Konfigurera ett automatiskt e-postmeddelande till användare med enheter som inte är kompatibla.

    2. Konfigurera en åtgärd för att fjärrlåsa enheter som inte är kompatibla.

    3. Konfigurera en åtgärd för att automatiskt dra tillbaka en icke-kompatibel enhet efter ett angivet antal dagar.

III. Principer för skydd mot dataförlust (DLP) tillämpas för företagsenheter och BYOD

När dataåtkomst har beviljats vill du styra vad användaren kan göra med data. Om en användare till exempel kommer åt ett dokument med en företagsidentitet vill du förhindra att dokumentet sparas på en oskyddad lagringsplats för konsumenter eller från att delas med en konsumentkommunikations- eller chattapp.

Diagram of the steps within phase 3 of the initial deployment objectives.

Börja med att tillämpa säkerhetsinställningar som rekommenderas av Microsoft för att Windows 10 enheter för att skydda företagsdata (kräver Windows 10 1809 och senare):

Använd Intune säkerhetsbaslinjer för att skydda och skydda dina användare och enheter. Säkerhetsbaslinjer är förkonfigurerade grupper med Windows inställningar som hjälper dig att använda en känd grupp med inställningar och standardvärden som rekommenderas av relevanta säkerhetsteam.

Följ de här anvisningarna:

  1. Välj Baslinjer för slutpunktssäkerhetssäkerhet > för att visa listan över tillgängliga baslinjer.

  2. Välj den originalplan du vill använda och välj sedan Skapa profil.

  3. På fliken Konfigurationsinställningar visar du de grupper av Inställningar som är tillgängliga i den baslinje du valde. Du kan expandera en grupp för att visa inställningarna i den gruppen och standardvärdena för dessa inställningar i baslinjen. Så här hittar du specifika inställningar:

    1. Välj en grupp för att expandera och granska de tillgängliga inställningarna.

    2. Använd sökfältet och ange nyckelord som filtrerar vyn så att endast de grupper som innehåller dina sökvillkor visas.

    3. Konfigurera om standardinställningarna så att de uppfyller dina affärsbehov.

      Screenshot of Application Management settings in Create Profile.

  4. På fliken Uppgifter väljer du grupper som ska ingå och tilldelar sedan baslinjen till en eller flera grupper. Om du vill finjustera uppgiften använder du Välj grupper som ska undantas.

Kontrollera att uppdateringar distribueras automatiskt till slutpunkter

Konfigurera Windows 10 enheter

Konfigurera Windows-uppdateringar för företag för att förenkla uppdateringshanteringsupplevelsen för användare och se till att enheter uppdateras automatiskt så att de uppfyller den efterlevnadsnivå som krävs.

Följ de här anvisningarna:

  1. Hantera Windows 10 programuppdateringar i Intune genom att skapa uppdateringsringar och aktivera en samling inställningar som konfigurerar när Windows 10 uppdateringar ska installeras.

    1. Välj Enheter > Windows > skapa Windows 10 uppdateringsringar>.

    2. Under Uppdatera ringinställningar konfigurerar du inställningar för dina affärsbehov.

      Screenshot of Update settings and User experience settings.

    3. Under Uppgifter väljer du + Välj grupper som ska ingå och tilldelar sedan uppdateringsringen till en eller flera grupper. Om du vill finjustera uppgiften använder du + Välj grupper som ska undantas.

  2. Hantera Windows 10 funktionsuppdateringar i Intune för att ta enheter till den Windows version du anger (d.v.s. 1803 eller 1809) och låsa funktionsuppsättningen på dessa enheter tills du väljer att uppdatera dem till en senare Windows version.

    1. Välj Enheter > Windows > Windows 10 Funktionsuppdateringar > Skapa.

    2. Under Grunderna anger du ett namn, en beskrivning (valfritt) och för Funktionsuppdatering som ska distribueras väljer du den version av Windows med den funktionsuppsättning du vill använda och väljer sedan Nästa.

    3. Under Uppgifter väljer du och väljer grupper som ska inkluderas och tilldelar sedan distributionen av funktionsuppdateringen till en eller flera grupper.

Konfigurera iOS-enheter

För företagsregistrerade enheter konfigurerar du iOS-uppdateringar för att förenkla uppdateringshanteringsupplevelsen för användare och ser till att enheter uppdateras automatiskt så att de uppfyller den efterlevnadsnivå som krävs. Konfigurera uppdateringsprincip för iOS.

Följ de här anvisningarna:

  1. Välj Enhetsuppdateringsprinciper > för iOS/iPadOS > Skapa profil.

  2. På fliken Grunderna anger du ett namn för den här principen, anger en beskrivning (valfritt) och väljer sedan Nästa.

  3. På fliken Uppdatera principinställningar konfigurerar du följande:

    1. Välj den version du vill installera. Du kan välja mellan:

      1. Senaste uppdateringen: Den här distribuerar den senast släppta uppdateringen för iOS/iPadOS.

      2. Alla tidigare versioner som är tillgängliga i listrutan. Om du väljer en tidigare version måste du också distribuera en enhetskonfigurationsprincip för att fördröja synligheten för programuppdateringar.

    2. Schematyp: Konfigurera schemat för den här principen:

      1. Uppdatera vid nästa incheckning. Uppdateringen installeras på enheten nästa gång den checkar in med Intune. Det här är det enklaste alternativet och har inga ytterligare konfigurationer.

      2. Uppdatera under schemalagd tid. Du konfigurerar ett eller flera fönster under vilken uppdateringen installeras vid incheckningen.

      3. Uppdatera utanför den schemalagda tiden. Du konfigurerar ett eller flera fönster under vilken uppdateringarna inte installeras vid incheckningen.

    3. Veckoschema: Om du väljer en annan schematyp än uppdatering vid nästa incheckning konfigurerar du följande alternativ:

      Screenshot of Update policy settings in Create profile.

  4. Välj en tidszon.

  5. Definiera ett tidsintervall. Definiera ett eller flera tidsblock som begränsar när uppdateringarna installeras. Alternativen omfattar startdag, starttid, slutdag och sluttid. Med hjälp av en start- och slutdag stöds blockeringar över natten. Om du inte konfigurerar tider för start eller slut medför konfigurationen inga begränsningar och uppdateringar kan installeras när som helst.

Kontrollera att enheter är krypterade

Konfigurera Bitlocker för att kryptera Windows 10 enheter

  1. Välj Konfigurationsprofiler > för enheter > Skapa profil.

  2. Ange följande alternativ:

    1. Plattform: Windows 10 och senare

    2. Profiltyp: Slutpunktsskydd

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. Välj Inställningar > Windows kryptering.

    Screenshot of Endpoint protection in Create profile.

  4. Konfigurera inställningarna för BitLocker så att de uppfyller dina affärsbehov och välj sedan OK.

Konfigurera FileVault-kryptering på macOS-enheter

  1. Välj Konfigurationsprofiler > för enheter > Skapa profil.

  2. Ange följande alternativ:

    1. Plattform: macOS.

    2. Profiltyp: Slutpunktsskydd.

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. Välj Inställningar > FileVault.

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. För FileVault väljer du Aktivera.

  5. För typ av återställningsnyckel stöds endast Personlig nyckel.

  6. Konfigurera de återstående FileVault-inställningarna så att de uppfyller dina affärsbehov och välj sedan OK.

Skapa principer för programskydd för att skydda företagsdata på appnivå

Skapa appskyddsprinciper (APP) för att säkerställa att dina data förblir säkra eller finns i en hanterad app. En princip kan vara en regel som tillämpas när användaren försöker komma åt eller flytta "företagsdata" eller en uppsättning åtgärder som är förbjudna eller övervakas när användaren är inne i appen.

APP-dataskyddsramverket är indelat i tre olika konfigurationsnivåer, där varje nivå bygger på den föregående nivån:

  • Enterprise Basic Data Protection (Nivå 1) säkerställer att appar skyddas med en PIN-kod och krypteras, och utför selektiva rensningsåtgärder. För Android-enheter validerar den här nivån Android-enhetsdämpning. Det här är en konfiguration på instegsnivå som ger liknande dataskyddskontroll i Exchange Online postlådeprinciper och introducerar IT- och användarpopulationen till APP.

  • Enterprise enhanced data protection (Level 2) introducerar mekanismer för skydd mot dataläckage i APP och minimisystemkrav. Det här är den konfiguration som gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata.

  • Enterprise High Data Protection (Nivå 3) introducerar avancerade dataskyddsmekanismer, förbättrad PIN-konfiguration och APP Mobile Threat Defense. Den här konfigurationen är önskvärd för användare som har tillgång till högriskdata.

Följ de här anvisningarna:

  1. I Intune portal väljer du Appar>Appskydd principer. Det här valet öppnar information om Appskydd principer, där du skapar nya principer och redigerar befintliga principer.

  2. Välj Skapa princip och välj antingen iOS/iPadOS eller Android. Fönstret Skapa princip visas.

  3. Välj de appar som du vill tillämpa appskyddspolicyn på.

  4. Konfigurera Inställningar för dataskydd:

    1. iOS/iPadOS dataskydd. Mer information finns i principinställningar för appskydd i iOS/iPadOS – Dataskydd.

    2. Android-dataskydd. Mer information finns i Principinställningar för Android-appskydd – Dataskydd.

  5. Konfigurera Inställningar för åtkomstkrav:

    1. åtkomstkrav för iOS/iPadOS. Mer information finns i principinställningar för appskydd i iOS/iPadOS – Åtkomstkrav.

    2. Åtkomstkrav för Android. Mer information finns i Principinställningar för Android-appskydd – Åtkomstkrav.

  6. Konfigurera Inställningar för villkorsstyrd start:

    1. villkorsstyrd start av iOS/iPadOS. Mer information finns i principinställningar för appskydd i iOS/iPadOS – villkorsstyrd start.

    2. Villkorsstyrd start av Android. Mer information finns i Principinställningar för Android-appskydd – villkorsstyrd start.

  7. Klicka på Nästa för att visa sidan Uppgifter .

  8. När du är klar klickar du på Skapa för att skapa programskyddsprincipen i Intune.




Checklist icon with two checkmarks.

Ytterligare distributionsmål

IV. Identifiering av slutpunktshot används för att övervaka enhetsrisk

När du har uppnått de tre första målen är nästa steg att konfigurera slutpunktssäkerhet så att avancerat skydd etableras, aktiveras och övervakas. En enda fönsterruta används för att konsekvent hantera alla slutpunkter tillsammans.

Dirigera slutpunktsloggar och transaktioner till ett SIEM eller en Power BI

Med hjälp av Intune datalager skickar du enhets- och apphanteringsdata till rapporterings- eller SIEM-verktyg för intelligent filtrering av aviseringar för att minska bruset.

Följ de här anvisningarna:

  1. Välj Rapporter > Intune Data warehouse > Data Warehouse.

  2. Kopiera url:en för anpassad feed. Till exempel: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Öppna Power BI Desktop eller SIEM-lösningen.

Från din SIEM-lösning

Välj alternativet för att importera eller hämta data från en Odata-feed.

Från PowerBI

  1. Välj Arkiv Hämta data > OData-feed >på menyn.

  2. Klistra in den anpassade feed-URL:en som du kopierade från det tidigare steget i rutan URL i fönstret för OData-feed.

  3. Välj Grundläggande.

  4. Välj OK.

  5. Välj Organisationskonto och logga sedan in med dina Intune inloggningsuppgifter.

    Screenshot of OData feed setting in Organizational account.

  6. Välj Anslut. Navigatören öppnas och visar listan över tabeller i Intune Data Warehouse.

  7. Välj enheterna och ownerTypes-tabellerna. Välj Läs in. Power BI läser in data till modellen.

  8. Skapa en relation. Du kan importera flera tabeller för att analysera inte bara data i en enda tabell, utan relaterade data över tabeller. Power BI har en funktion som kallas automatisk fördätning som försöker hitta och skapa relationer åt dig. Tabellerna i Data Warehouse har skapats för att fungera med funktionen för automatisk fördätning i Power BI. Även om Power BI inte automatiskt hittar relationerna kan du ändå hantera relationerna.

  9. Välj Hantera relationer.

  10. Välj Identifiera automatiskt om Power BI inte redan har upptäckt relationerna.

  11. Lär dig mer om avancerade sätt att konfigurera PowerBI-visualiseringar.

V. Åtkomstkontroll är gated på slutpunktsrisk för både företagsenheter och BYOD

Företagsenheter registreras med en molnregistreringstjänst som DEP, Android Enterprise eller Windows AutoPilot

Att skapa och underhålla anpassade operativsystems avbildningar är en tidskrävande process och kan omfatta att lägga tid på att använda anpassade operativsystems avbildningar på nya enheter för att förbereda dem för användning.

  • Med Microsoft Intune molnregistreringstjänster kan du ge användarna nya enheter utan att behöva skapa, underhålla och tillämpa anpassade operativsystems avbildningar på enheterna.

  • Windows Autopilot är en samling tekniker som används för att konfigurera och förkonfigurera nya enheter, vilket gör dem redo för produktiv användning. Du kan också använda Windows Autopilot för att återställa, återanvända och återställa enheter.

  • Konfigurera Windows Autopilot för att automatisera Azure AD Join och registrera nya företagsägda enheter i Intune.

  • Konfigurera Apple DEP för automatisk registrering av iOS- och iPadOS-enheter.

Produkter som omfattas av den här guiden

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (omfattar Microsoft Intune och Configuration Manager)

Microsoft Defender för Endpoint

Bitlocker

Slutsats

En Nolltillit metod kan avsevärt stärka enhetens och slutpunkternas säkerhetsställning. Om du vill ha mer information eller hjälp med implementeringen kan du kontakta ditt kundframgångsteam eller fortsätta att läsa igenom de andra kapitlen i den här guiden som spänner över alla Nolltillit pelare.



Serien Nolltillit distributionsguide

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration