Управление устройствами с помощью Intune: общие сведения

Основным компонентом обеспечения безопасности на уровне предприятия является управление устройствами и их защита. Независимо от того, создаете ли вы архитектуру безопасности на основе модели "Никому не доверяй", защищаете ли свою среду от программ-шантажистов или создаете систему защиты для поддержки удаленных работников, управление устройствами является частью стратегии. Хотя Microsoft 365 предоставляет организациям несколько инструментов и методов, позволяющих управлять устройствами и обеспечивать их защиту, в этом руководстве основное внимание уделено рекомендациям корпорации Майкрософт по использованию Microsoft Intune. Вам пригодится это руководство, если вы планируете выполнить указанные ниже действия.

  • Запланируйте регистрацию устройств в Intune путем Microsoft Entra присоединения (включая Microsoft Entra гибридное соединение).
  • Вручную зарегистрировать устройства в Intune.
  • Обеспечить защиту приложений и данных на личных устройствах сотрудников, зарегистрировать эти устройства в Intune.

С другой стороны, если ваша среда включает планы совместного управления, включая Microsoft Configuration Manager, ознакомьтесь с документацией по совместному управлению, чтобы разработать оптимальный путь для вашей организации. Если в вашей среде есть устройства с планами для Облачного компьютера Windows 365, см. документацию по Windows 365 Корпоративная, чтобы найти оптимальный способ для вашей организации.

Обзор процесса развертывания показан в приведенном ниже видео.

Зачем управлять конечными точками?

В современном предприятии существует большое количество разнообразных конечных точек, через которые пользователи получают доступ к данным. Эти настройки создают большое количество направлений атак, в результате чего они могут легко стать уязвимым звеном в стратегии обеспечения безопасности на основе модели "Никому не доверяй".

В связи с растущей необходимостью и переходом на удаленную или гибридную модель работы пользователи работают из разных мест и на разных устройствах больше, чем когда-либо в истории. Злоумышленники быстро приспосабливают свою тактику к новым изменениям, чтобы воспользоваться возможностями, которые они открывают. При решении новых бизнес-задач многие организации сталкиваются с проблемой нехватки ресурсов. Практически в одночасье организации ускорили переход на цифровые технологии. Проще говоря, то, как люди работают, изменилось. Мы больше не ожидаем получать доступ к множеству корпоративных ресурсов только из офиса и на корпоративных устройствах.

Получение сведений о конечных точках, через которые пользователи получают доступ к корпоративным ресурсам, является первым шагом в разработке стратегии обеспечения безопасности на основе модели "Никому не доверяй". Как правило, организации активно защищают от уязвимостей и атак компьютеры, в то время как мобильные устройства часто остаются без контроля и защиты. Чтобы убедиться, что данные организации не подвержены риску, необходимо проверять каждую конечную точку на наличие рисков и использовать средства управления многоуровневым доступом, чтобы настроить соответствующий уровень доступа на основе политики организации. Например, если личное устройство взломано, вы можете заблокировать доступ, чтобы корпоративные приложения не подвергались известным уязвимостям.

В этой серии статей описываются рекомендации по управлению устройствами, через которые пользователи получают доступ к ресурсам организации. Если выполнить рекомендуемые действия, ваша организация обеспечит современную защиту своих ресурсов и устройств, через которые пользователи получают доступ.

Реализация нескольких уровней защиты на устройствах и для устройств

Защита данных и приложений на устройствах и самих устройств — это многоуровневый процесс. На неуправляемых устройствах пользователи могут получить несколько средств обеспечения защиты. Чтобы реализовать более сложные средства контроля, необходимо зарегистрировать устройства для управления. Если защита от угроз развернута на конечных точках, организация получит больше аналитических данных и возможность автоматически реагировать на некоторые атаки. Наконец, если ваша организация включила работу по выявлению конфиденциальных данных, применению классификации и меток, а также настройке политик Защита от потери данных Microsoft Purview, вы можете получить еще более детальную защиту данных на конечных точках.

На следующей диаграмме показаны структурные элементы обеспечения безопасности приложений Microsoft 365 и других приложений SaaS на основе модели "Никому не доверяй". Элементы, относящиеся к устройствам, пронумерованы с 1 по 7. Администраторы устройств будут координировать работу с другими администраторами для выполнения этих уровней защиты.

desc.

На этом рисунке:

  Шаг Описание Требования к лицензированию
1 Настройка политик доступа "Никому не доверяй" для удостоверений и устройств (начальный уровень) Попросите администратора удостоверений настроить политики защиты приложений 2-го уровня, чтобы защитить данные. Для этих политик не требуется управлять устройствами. Политики защиты приложений можно настроить в Intune. Администратор удостоверений настраивает политику условного доступа так, чтобы требовать утвержденные приложения. E3, E5, F1, F3 или F5
2 Регистрация устройств в Intune Для планирования и реализации этой задачи требуется больше времени. Корпорация Майкрософт рекомендует использовать Intune для регистрации устройств, потому что это средство обеспечивает оптимальную интеграцию. Есть несколько вариантов регистрации устройств в зависимости от платформы. Например, устройства Windows можно зарегистрировать с помощью Microsoft Entra присоединения или с помощью Autopilot. Просмотрите варианты для каждой платформы и решите, какой вариант регистрации лучше всего подходит для вашей среды. Дополнительные сведения см. в разделе Этап 2. Регистрация устройств в Intune. E3, E5, F1, F3 или F5
3 Настройка политик соответствия требованиям Убедитесь, что устройства, обращающиеся к вашим приложениям и данным, соответствуют минимальным требованиям, например для устройств применяется защита паролем или ПИН-кодом, а операционная система обновлена. Политики соответствия требованиям — это способ определения требований, которым должны соответствовать устройства. Этап 3. Настройка политик соответствия требованиям позволяет настроить эти политики. E3, E5, F3 или F5
4 Настройка политик доступа "Никому не доверяй" для удостоверений и устройств (уровень организации, рекомендуется) Теперь, когда устройства зарегистрированы, попросите администратора удостоверений настроить политики условного доступа так, чтобы требовать исправные и соответствующие требованиям устройства. E3, E5, F3 или F5
5 Развертывание профилей конфигурации В отличие от политик соответствия требованиям, которые просто помечают устройство как соответствующее или не соответствующее требованиям на основе заданных критериев, профили конфигурации изменяют параметры на устройстве. Политики конфигурации можно использовать для защиты устройств от киберугроз. См. Этап 5. Развертывание профилей конфигурации. E3, E5, F3 или F5
6 Проверка устройств на наличие рисков и соответствие базовым показателям безопасности На этом этапе необходимо подключить Intune к Microsoft Defender для конечной точки. Эта интеграция позволяет проверять, подвержены ли устройства риску для предоставления им доступа. Устройства, которые находятся в опасном состоянии, блокируются. Также можно отслеживать соответствие базовым показателям безопасности. См. Этап 6. Проверка устройств на наличие рисков и соответствие базовым показателям безопасности. E5 или F5
7 Реализация защиты от потери данных (DLP) с возможностями защиты информации Если ваша организация провела работу по идентификации конфиденциальных данных и маркировке документов, попросите администратора обеспечить защиту конфиденциальной информации и документов на устройствах. E5 или F5 с надстройкой для соответствия требованиям

Согласование действий по управлению конечными точками с помощью политик доступа "Никому не доверяй" для удостоверений и устройств

Это руководство согласуется с рекомендуемыми политиками доступа "Никому не доверяй" для удостоверений и устройств. Вы будете работать с командой удостоверений, чтобы обеспечить защиту, настроенную с помощью Intune в политиках условного доступа в Microsoft Entra ID.

Ниже приведена иллюстрация рекомендуемого набора политик с выносками шагов для работы, которую вы будете выполнять в Intune, и связанных политик условного доступа, которые вы поможете согласовать в Microsoft Entra ID.

Политики удостоверений и доступа к устройствам без доверия.

На этом рисунке:

  • На этапе 1 Настройка политик защиты приложений 2-го уровня необходимо настроить рекомендуемый уровень безопасности данных с помощью политик защиты приложений. Затем совместно с командой управления удостоверениями необходимо настроить соответствующее правило условного доступа, чтобы требовать применения этой защиты.
  • На этапах 2, 3 и 4 необходимо зарегистрировать устройства для управления с помощью Intune, определить политики соответствия требованиям, а затем совместно с командой управления удостоверениями настроить соответствующее правило условного доступа, чтобы разрешать доступ только устройствам, которые соответствуют требованиям.

Регистрация и подключение устройств

Если вы будете следовать этим рекомендациям, вы зарегистрировать устройства для управления с помощью Intune и подключить устройства для следующих возможностей Microsoft 365:

  • Microsoft Defender для конечной точки
  • Microsoft Purview (для защиты от потери данных (DLP) в конечной точке)

Далее описан принцип работы при использовании Intune.

Процесс регистрации и подключения устройств.

На этом рисунке:

  1. Регистрация устройств в системе управления с использованием Intune.
  2. Используйте Intune для подключения устройств к Defender для конечной точки.
  3. Устройства, подключенные к Defender для конечной точки, также подключаются к функциям Microsoft Purview, включая защиту от потери данных в конечной точке.

Обратите внимание, что управляет устройствами только Intune. Под подключением подразумевается возможность устройства обмениваться информацией с определенной службой. В следующей таблице приведена сводка различий между регистрацией устройств для управления и подключением устройств к определенной службе.

  Регистрация Адаптация
Описание Регистрация относится к управлению устройствами. Устройства регистрируются для управления с помощью Intune или Configuration Manager. При подключении устройство настраивается для работы с определенным набором возможностей в Microsoft 365. В настоящее время подключение применяется к Microsoft Defender для конечной точки и возможностям для обеспечения соответствия требованиям Майкрософт.

На устройствах с Windows подключение включает переключение параметра в Защитнике Windows, который позволяет Defender подключаться к веб-службе и принимать политики, которые применяются к устройству.
Область Эти средства управления устройствами управляют всем устройством, включая настройку устройства для достижения определенных целей, например, по безопасности. Подключение влияет только на применимые службы.
Рекомендуемый способ Microsoft Entra присоединение автоматически регистрирует устройства в Intune. Рекомендуется использовать Intune для подключения устройств к Защитнику Windows для конечной точки, а также, следовательно, и для функций Microsoft Purview.

Обратите внимание, что устройства, подключенные к возможностям Microsoft Purview с помощью других методов, не регистрируются автоматически для Defender для конечной точки.
Другие методы Другие методы регистрации зависят от платформы устройства и от того, является ли оно BYOD или управляется вашей организацией. Другие методы подключения устройств, включают, в рекомендуемом порядке:
  • Configuration Manager
  • Другое средство управления мобильными устройствами (если устройство управляется таким средством)
  • Локальный сценарий
  • Пакет конфигурации VDI для подключения временных устройств инфраструктуры виртуальных рабочих столов (VDI)
  • Групповая политика
  • Обучающие ресурсы для администраторов

    Следующие ресурсы помогают администраторам ознакомиться с основными понятиями об использовании Intune.

    • Упрощение управления устройствами с помощью модуля обучения Microsoft Intune

      Узнайте, как решения по управлению бизнесом через Microsoft 365 предоставляют пользователям безопасный и персонализированный интерфейс рабочего стола и помогают организациям легко управлять обновлениями для всех устройств с упрощенным интерфейсом администрирования.

    • Оценка Microsoft Intune

      Microsoft Intune помогает защитить устройства, приложения и данные, которые пользователи вашей организации используют для повышения производительности. В этой статье рассказывается, как настроить Microsoft Intune. Программа установки включает проверку поддерживаемых конфигураций, регистрацию Intune, добавление пользователей и групп, назначение лицензий пользователям, предоставление разрешений администратора и настройку центра мобильного Управление устройствами (MDM).

    Следующее действие

    Перейдите к шагу 1. Реализуйте политики защиты приложений.