Úrovně ochrany a konfigurace v Microsoft Intune
Microsoft Intune umožňuje správcům vytvářet zásady, které se použijí pro uživatele, zařízení a aplikace. Tyto zásady můžou být v rozsahu od minimální sady až po bezpečnější nebo řízené zásady. Tyto zásady závisí na potřebách organizace, používaných zařízeních a na tom, co zařízení budou dělat.
Až budete připraveni vytvářet zásady, můžete použít různé úrovně ochrany a konfigurace:
- Úroveň 1 – Minimální ochrana a konfigurace
- Úroveň 2 – Rozšířená ochrana a konfigurace
- Úroveň 3 – Vysoká ochrana a konfigurace
Vaše prostředí a obchodní potřeby můžou mít definované různé úrovně. Tyto úrovně můžete použít jako výchozí bod a pak si je přizpůsobit tak, aby vyhovovaly vašim potřebám. Můžete například použít zásady konfigurace zařízení na úrovni 1 a zásady aplikací na úrovni 3.
Vyberte úrovně, které jsou pro vaši organizaci vhodné. Není žádná špatná volba.
Úroveň 1 – Minimální ochrana a konfigurace
Tato úroveň zahrnuje zásady, které by měla mít minimálně každá organizace. Zásady na této úrovni vytvářejí minimální směrný plán funkcí zabezpečení a poskytují uživatelům přístup k prostředkům, které potřebují k práci.
Aplikace (úroveň 1)
Tato úroveň vynucuje přiměřené množství požadavků na ochranu dat a přístup a minimalizuje přerušení provozu koncových uživatelů. Tato úroveň zajišťuje, aby aplikace byly chráněny kódem PIN & základním šifrováním, a spouští operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Tato úroveň je konfigurace vstupní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovní schránky Exchange Online. Seznamuje také it a koncové uživatele se zásadami ochrany aplikací.
Na této úrovni Microsoft doporučuje nakonfigurovat pro aplikace následující ochranu a přístup:
Povolení základních požadavků na ochranu dat
- Povolit základní přenos dat aplikace
- Vynucení základního šifrování aplikací
- Povolit základní funkce přístupu
Povolení základních požadavků na přístup
- Vyžadování KÓDU PIN, FACE ID a biometrického přístupu
- Vynucení podpůrných nastavení základního přístupu
Povolení základního podmíněného spuštění aplikace
- Konfigurace pokusů o základní přístup k aplikaci
- Blokování přístupu k aplikacím na základě zařízení s jailbreakem nebo rootem
- Omezení přístupu k aplikacím na základě základní integrity zařízení
Další informace najdete v článku Základní ochrana aplikací úrovně 1.
Dodržování předpisů (úroveň 1)
Na této úrovni konfiguruje dodržování předpisů zařízením nastavení celého tenanta, která platí pro všechna zařízení. Nasadíte také minimální zásady dodržování předpisů na všechna zařízení, abyste vynutily základní sadu požadavků na dodržování předpisů.
Microsoft doporučuje, aby tyto konfigurace byly zavedeny předtím, než zařízením povolíte přístup k prostředkům vaší organizace. Dodržování předpisů zařízením úrovně 1 zahrnuje:
Nastavení zásad dodržování předpisů je několik nastavení pro celého tenanta, která ovlivňují fungování služby dodržování předpisů Intune s vašimi zařízeními.
Zásady dodržování předpisů specifické pro platformu zahrnují nastavení pro běžné motivy napříč platformami. Skutečný název nastavení a implementace se můžou lišit v závislosti na různých platformách:
- Vyžadovat antivirový, antispywarový a antimalwarový software (jenom Windows)
- Verze operačního systému
- Maximální počet operačních systému
- Minimální operační systém
- Podverze a hlavní verze sestavení
- Úrovně oprav operačního systému
- Konfigurace hesel
- Vynucení zamykací obrazovky po době nečinnosti, kdy se k odemknutí vyžaduje heslo nebo PIN kód
- Vyžadovat složitá hesla s kombinacemi písmen, číslic a symbolů
- Vyžadování hesla nebo PIN kódu k odemknutí zařízení
- Vyžadovat minimální délku hesla
Akce při nedodržení předpisů se automaticky zahrnují do každé zásady specifické pro platformu. Jedná se o jednu nebo více akcí s časovým pořadím, které nakonfigurujete. Platí pro zařízení, která nesplňují požadavky na dodržování předpisů vaší zásady. Ve výchozím nastavení je označení zařízení nedodržující předpisy okamžitou akcí, která je součástí každé zásady.
Další informace najdete v tématu Úroveň 1 – Minimální dodržování předpisů zařízením.
Konfigurace zařízení (úroveň 1)
Na této úrovni profily zahrnují nastavení, která se zaměřují na zabezpečení a přístup k prostředkům. Konkrétně na této úrovni microsoft doporučuje nakonfigurovat následující funkce:
Povolení základního zabezpečení, včetně:
- Antivirová ochrana a kontrola
- Detekce hrozeb a reakce na ně
- Brána firewall
- Aktualizace softwaru
- Zásady silného PIN kódu a hesel
Udělte uživatelům přístup k síti:
- SÍŤ VPN pro vzdálený přístup
- Wi-Fi pro místní přístup
Další informace najdete v části Krok 4 – Vytvoření konfiguračních profilů zařízení pro zabezpečení zařízení a vytvoření připojení k prostředkům organizace.
Úroveň 2 – Rozšířená ochrana a konfigurace
Tato úroveň rozšiřuje minimální sadu zásad tak, aby zahrnovaly větší zabezpečení a rozšířily správu mobilních zařízení. Zásady na této úrovni zajišťují zabezpečení více funkcí, poskytují ochranu identit a spravují další nastavení zařízení.
Pomocí nastavení na této úrovni můžete přidat to, co jste nakonfigurovali na úrovni 1.
Aplikace (úroveň 2)
Tato úroveň doporučuje standardní úroveň ochrany aplikací pro zařízení, kde uživatelé přistupují k citlivějším informacím. Tato úroveň zavádí mechanismy ochrany dat zásad ochrany aplikací a minimální požadavky na operační systém. Tato úroveň je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
Kromě nastavení úrovně 1 microsoft doporučuje nakonfigurovat pro aplikace následující ochranu a přístup:
Povolení požadavků na rozšířenou ochranu dat
- Přenos dat souvisejících s organizací
- Vyloučení požadavků na přenos dat vybraných aplikací (iOS/iPadOS)
- Přenos telekomunikačních dat
- Omezení vyjmutí, kopírování a vkládání mezi aplikacemi
- Blokovat snímek obrazovky (Android)
Povolení rozšířeného podmíněného spouštění aplikací
- Blokování zakázání účtů aplikací
- Vynucování minimálních požadavků na operační systém zařízení
- Vyžadovat minimální verzi opravy (Android)
- Vyžadovat typ vyhodnocení verdiktu integrity play (Android)
- Vyžadovat zámek zařízení (Android)
- Povolit přístup k aplikacím na základě zvýšené integrity zařízení
Další informace najdete v článku Rozšířená ochrana aplikací úrovně 2.
Dodržování předpisů (úroveň 2)
Na této úrovni Microsoft doporučuje přidat do zásad dodržování předpisů podrobnější možnosti. Mnoho nastavení na této úrovni má názvy specifické pro platformu, které všechna přinášejí podobné výsledky. Níže jsou uvedené kategorie nebo typy nastavení, které microsoft doporučuje použít, pokud jsou k dispozici:
Aplikace
- Správa míst, kde zařízení získávají aplikace, jako je Google Play pro Android
- Povolit aplikacím z konkrétních umístění
- Blokování aplikací z neznámých zdrojů
Nastavení brány firewall
- Nastavení brány firewall (macOS, Windows)
Šifrování
- Vyžadovat šifrování úložiště dat
- BitLocker (Windows)
- FileVault (macOS)
Hesla
- Vypršení platnosti a opakované použití hesla
Ochrana souborů a spouštění na úrovni systému
- Blokování ladění USB (Android)
- Blokování zařízení s rootem nebo jailbreakem (Android, iOS)
- Vyžadovat ochranu integrity systému (macOS)
- Vyžadovat integritu kódu (Windows)
- Vyžadování povolení zabezpečeného spouštění (Windows)
- Trusted Platform Module (Windows)
Další informace najdete v tématu Úroveň 2 – Vylepšené nastavení dodržování předpisů zařízením.
Konfigurace zařízení (úroveň 2)
Na této úrovni rozšiřujete nastavení a funkce, které jste nakonfigurovali na úrovni 1. Microsoft doporučuje vytvořit zásady, které:
- Přidejte další vrstvu zabezpečení tím, že na svých zařízeních povolíte šifrování disků, zabezpečené spouštění a čip TPM (Trusted Platform Module).
- Nakonfigurujte pin kódy & hesla tak, aby vypršela platnost, a spravujte, jestli a kdy se hesla můžou opakovaně používat.
- Nakonfigurujte podrobnější funkce, nastavení a chování zařízení.
- Zjistěte, jestli jsou v Intune dostupné nějaké místní objekty zásad skupiny (GPO).
Podrobnější informace o zásadách konfigurace zařízení na této úrovni najdete v tématu Úroveň 2 – Rozšířená ochrana a konfigurace.
Úroveň 3 – Vysoká ochrana a konfigurace
Tato úroveň zahrnuje zásady na úrovni podniku a může zahrnovat různé správce ve vaší organizaci. Tyto zásady nadále přecházejí na ověřování bez hesla, mají větší zabezpečení a konfigurují specializovaná zařízení.
Pomocí nastavení na této úrovni můžete přidat to, co jste nakonfigurovali v úrovních 1 a 2.
Aplikace (úroveň 3)
Tato úroveň doporučuje standardní úroveň ochrany aplikací pro zařízení, kde uživatelé přistupují k citlivějším informacím. Tato úroveň zavádí pokročilou ochranu dat, vylepšenou konfiguraci PIN kódu a zásady ochrany aplikací s ochranou před mobilními hrozbami. Tato konfigurace je určená pro uživatele, kteří mají přístup k vysoce rizikovým datům.
Kromě nastavení úrovně 1 a 2 microsoft doporučuje nakonfigurovat pro aplikace následující ochranu a přístup:
Povolení požadavků na vysokou ochranu dat
- Vysoká ochrana při přenosu telekomunikačních dat
- Příjem dat pouze z aplikací spravovaných zásadami
- Blokování otevírání dat v dokumentech organizace
- Povolit uživatelům otevírat data z vybraných služeb
- Blokování nežádoucích partnerských klávesnic nebo klávesnic jiných společností než Microsoft
- Vyžadovat/vybrat schválené klávesnice (Android)
- Blokování tisku dat organizace
Povolení vysokých požadavků na přístup
- Blokovat jednoduchý PIN kód a vyžadovat konkrétní minimální délku PIN kódu
- Vyžadovat resetování PIN kódu po uplynutí počtu dnů
- Vyžadovat biometriku třídy 3 (Android 9.0+)
- Vyžadovat přepsání biometriky pin kódem po aktualizaci biometrických údajů (Android)
Povolení spouštění vysoce podmíněných aplikací
- Vyžadovat zámek zařízení (Android)
- Vyžadovat maximální povolenou úroveň hrozby
- Vyžadovat maximální verzi operačního systému
Další informace najdete v tématu Vysoká ochrana aplikací úrovně 3.
Dodržování předpisů (úroveň 3)
Na této úrovni můžete rozšířit integrované funkce intune pro dodržování předpisů prostřednictvím následujících funkcí:
Integrace dat od partnera ochrany před mobilními hrozbami (MTD)
- U partnera MTD můžou zásady dodržování předpisů vyžadovat, aby zařízení byla na úrovni hrozby zařízení nebo pod skóre rizika počítače, které určuje daný partner.
Použijte v Intune jiného partnera než Microsoftu pro dodržování předpisů.
Pomocí skriptů můžete do zásad přidat vlastní nastavení dodržování předpisů pro nastavení, která nejsou dostupná v uživatelském rozhraní Intune. (Windows, Linux)
Pomocí dat zásad dodržování předpisů se zásadami podmíněného přístupu můžete chránit přístup k prostředkům vaší organizace.
Další informace najdete v tématu Úroveň 3 – Pokročilé konfigurace dodržování předpisů zařízením.
Konfigurace zařízení (úroveň 3)
Tato úroveň se zaměřuje na služby a funkce na podnikové úrovni a může vyžadovat investice do infrastruktury. Na této úrovni můžete vytvořit zásady, které:
Rozšiřte ověřování bez hesla do dalších služeb ve vaší organizaci, včetně ověřování na základě certifikátů, jednotného přihlašování pro aplikace, vícefaktorového ověřování (MFA) a brány VPN Microsoft Tunnel.
Rozbalte Tunel Microsoft Tím, že nasadíte Microsoft Tunnel for Mobile Application Management (Tunel pro MAM), který rozšiřuje podporu tunelu na zařízení s iOSem a Androidem, která nejsou zaregistrovaná v Intune. Tunel pro MAM je k dispozici jako doplněk Intune.
Informace najdete v článku Použití funkcí doplňků sady Intune.
Nakonfigurujte funkce zařízení, které platí pro vrstvu firmwaru Windows. Používejte režim běžných kritérií v Androidu.
Pomocí zásad Intune pro řešení hesel místního správce Windows (LAPS) můžete zabezpečit integrovaný účet místního správce na spravovaných zařízeních s Windows.
Informace najdete v tématu Podpora Intune pro Windows LAPS.
Chraňte zařízení s Windows pomocí správy oprávnění koncového bodu (EPM). EPM pomáhá spouštět uživatele vaší organizace jako standardní uživatele (bez oprávnění správce) a umožňuje stejným uživatelům provádět úlohy, které vyžadují zvýšená oprávnění.
EPM je k dispozici jako doplněk Intune. Informace najdete v článku Použití funkcí doplňků sady Intune.
Nakonfigurujte specializovaná zařízení, jako jsou veřejné terminály a sdílená zařízení.
V případě potřeby nasaďte skripty.
Konkrétnější informace o zásadách konfigurace zařízení na této úrovni najdete v tématu Úroveň 3 – Vysoká ochrana a konfigurace.
Související článek
Úplný seznam všech konfiguračních profilů zařízení, které můžete vytvořit, najdete v tématu Použití funkcí a nastavení na zařízeních pomocí profilů zařízení v Microsoft Intune.