Skyddsnivåer och konfigurationsnivåer i Microsoft Intune
Microsoft Intune ger administratörer möjlighet att skapa principer som tillämpas på användare, enheter och appar. Dessa principer kan vara allt från en minsta uppsättning till säkrare eller mer kontrollerade principer. Dessa principer beror på organisationens behov, vilka enheter som används och vad enheterna kommer att göra.
När du är redo att skapa principer kan du använda olika skyddsnivåer och konfigurationsnivåer:
- Nivå 1 – Lägsta skydd och konfiguration
- Nivå 2 – Förbättrat skydd och konfiguration
- Nivå 3 – Hög skydd och konfiguration
Dina miljö- och affärsbehov kan ha olika nivåer definierade. Du kan använda dessa nivåer som utgångspunkt och sedan anpassa dem efter dina behov. Du kan till exempel använda enhetskonfigurationsprinciperna på nivå 1 och appprinciperna på nivå 3.
Välj de nivåer som passar din organisation. Det finns inget fel val.
Nivå 1 – Lägsta skydd och konfiguration
Den här nivån innehåller principer som varje organisation bör ha, minst. Principerna på den här nivån skapar en minimibaslinje för säkerhetsfunktioner och ger användarna åtkomst till de resurser de behöver för att utföra sina jobb.
Appar (nivå 1)
Den här nivån tillämpar en rimlig mängd dataskydds- och åtkomstkrav och minimerar slutanvändarnas avbrott. Den här nivån säkerställer att appar skyddas med en PIN-kod & grundläggande kryptering och kör selektiva rensningsåtgärder. För Android-enheter validerar den här nivån Android-enhetsattestering. Den här nivån är en konfiguration på ingångsnivå som ger liknande dataskyddskontroll i Exchange Online-postlådeprinciper. Den introducerar även IT- och slutanvändarna för appskyddsprinciper.
På den här nivån rekommenderar Microsoft att du konfigurerar följande skydd och åtkomst för appar:
Aktivera grundläggande dataskyddskrav
- Tillåt grundläggande dataöverföring i appen
- Framtvinga grundläggande appkryptering
- Tillåt grundläggande åtkomstfunktioner
Aktivera grundläggande åtkomstkrav
- Kräv PIN-kod, ansikts-ID och biometrisk åtkomst
- Framtvinga stöd för grundläggande åtkomstinställningar
Aktivera grundläggande villkorlig programstart
- Konfigurera grundläggande åtkomstförsök för appar
- Blockera appåtkomst baserat på jailbrokade/rotade enheter
- Begränsa appåtkomst baserat på grundläggande integritet för enheter
Mer information finns i Grundläggande appskydd på nivå 1.
Efterlevnad (nivå 1)
På den här nivån konfigurerar enhetsefterlevnad de klientomfattande inställningar som gäller för alla enheter. Du distribuerar också minimala efterlevnadsprinciper till alla enheter för att framtvinga en grundläggande uppsättning efterlevnadskrav.
Microsoft rekommenderar att dessa konfigurationer finns på plats innan du tillåter att enheter får åtkomst till organisationens resurser. Enhetsefterlevnad på nivå 1 omfattar:
Inställningar för efterlevnadsprinciper är några inställningar för hela klientorganisationen som påverkar hur Intune-efterlevnadstjänsten fungerar med dina enheter.
Plattformsspecifika efterlevnadsprinciper innehåller inställningar för vanliga teman på olika plattformar. Det faktiska inställningsnamnet och implementeringen kan variera med de olika plattformarna:
- Kräv antivirusprogram, program mot skadlig kod och program mot skadlig kod (endast Windows)
- Operativsystemversion
- Maximalt operativsystem
- Lägsta operativsystem
- Delversioner och huvudversioner
- Korrigeringsnivåer för operativsystem
- Lösenordskonfigurationer
- Framtvinga låsskärm efter period av inaktivitet, vilket kräver ett lösenord eller en pin-kod för att låsa upp
- Kräv komplexa lösenord med kombinationer av bokstäver, siffror och symboler
- Kräv lösenord eller PIN-kod för att låsa upp enheter
- Kräv minsta längd på lösenord
Åtgärder för inkompatibilitet ingår automatiskt i varje plattformsspecifik princip. Dessa åtgärder är en eller flera tidsbeställda åtgärder som du konfigurerar. De gäller för de enheter som inte uppfyller efterlevnadskraven för din princip. Som standard är märkning av en enhet som inkompatibel en omedelbar åtgärd som medföljer varje princip.
Mer information finns på Nivå 1 – Minimal enhetsefterlevnad.
Enhetskonfiguration (nivå 1)
På den här nivån innehåller profilerna inställningar som fokuserar på säkerhet och resursåtkomst. På den här nivån rekommenderar Microsoft att du konfigurerar följande funktioner:
Aktivera grundläggande säkerhet, inklusive:
- Antivirus och genomsökning
- Hotidentifiering och svar
- Brandvägg
- Programuppdateringar
- Stark PIN-kod och lösenordsprincip
Ge användarna åtkomst till nätverket:
- E-post
- VPN för fjärråtkomst
- Wi-Fi för lokal åtkomst
Mer information finns i Steg 4 – Skapa enhetskonfigurationsprofiler för att skydda enheter och skapa anslutningar till organisationsresurser.
Nivå 2 – Förbättrat skydd och konfiguration
Den här nivån utökar den minsta uppsättningen principer för att inkludera mer säkerhet och utöka din hantering av mobila enheter. Principerna på den här nivån skyddar fler funktioner, ger identitetsskydd och hanterar fler enhetsinställningar.
Använd inställningarna på den här nivån för att lägga till det du konfigurerade i Nivå 1.
Appar (nivå 2)
På den här nivån rekommenderas en standardnivå för programskydd för enheter där användarna får åtkomst till mer känslig information. Den här nivån introducerar mekanismer för dataläckageskydd för appskyddsprinciper och minimikrav på operativsystem. Den här nivån är den konfiguration som gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata.
Förutom inställningarna på nivå 1 rekommenderar Microsoft att du konfigurerar följande skydd och åtkomst för appar:
Aktivera förbättrade dataskyddskrav
- Överföra organisationsrelaterade data
- Undanta dataöverföringskrav för valda appar (iOS/iPadOS)
- Överföra telekommunikationsdata
- Begränsa klipp ut, kopiera och klistra in mellan appar
- Blockera skärmdump (Android)
Aktivera förbättrad start av villkorsstyrda program
- Blockera inaktivering av programkonton
- Framtvinga minimikrav för enhetsoperativsystem
- Kräv lägsta korrigeringsversion (Android)
- Kräv utvärderingstyp för bedömning av spelintegritet (Android)
- Kräv enhetslås (Android)
- Tillåt appåtkomst baserat på ökad integritet för enheten
Mer information finns i Nivå 2 utökat appskydd.
Efterlevnad (nivå 2)
På den här nivån rekommenderar Microsoft att du lägger till mer detaljerade alternativ i dina efterlevnadsprinciper. Många av inställningarna på den här nivån har plattformsspecifika namn som alla ger liknande resultat. Följande är de kategorier eller typer av inställningar som Microsoft rekommenderar att du använder när de är tillgängliga:
Program
- Hantera var enheter hämtar appar, till exempel Google Play för Android
- Tillåt appar från specifika platser
- Blockera appar från okända källor
Brandväggsinställningar
- Brandväggsinställningar (macOS, Windows)
Kryptering
- Kräv kryptering av datalagring
- BitLocker (Windows)
- FileVault (macOS)
Lösenord
- Lösenordets giltighetstid och återanvändning
Fil- och startskydd på systemnivå
- Blockera USB-felsökning (Android)
- Blockera rotade eller jailbrokade enheter (Android, iOS)
- Kräv systemintegritetsskydd (macOS)
- Kräv kodintegritet (Windows)
- Kräv säker start för att aktiveras (Windows)
- Trusted Platform Module (Windows)
Mer information finns i Nivå 2 – Förbättrade inställningar för enhetsefterlevnad.
Enhetskonfiguration (nivå 2)
På den här nivån expanderar du de inställningar och funktioner som du konfigurerade på nivå 1. Microsoft rekommenderar att du skapar principer som:
- Lägg till ytterligare ett säkerhetslager genom att aktivera diskkryptering, säker start och TPM (Trusted Platform Module) på dina enheter.
- Konfigurera dina PIN-koder & lösenord så att de upphör att gälla och hantera om/när lösenord kan återanvändas.
- Konfigurera mer detaljerade enhetsfunktioner, inställningar och beteenden.
- Kontrollera om några lokala grupprincipobjekt är tillgängliga i Intune.
Mer specifik information om enhetskonfigurationsprinciper på den här nivån finns på Nivå 2 – Förbättrat skydd och konfiguration.
Nivå 3 – Hög skydd och konfiguration
Den här nivån innehåller principer på företagsnivå och kan involvera olika administratörer i din organisation. Dessa principer fortsätter att övergå till lösenordsfri autentisering, har mer säkerhet och konfigurerar specialiserade enheter.
Använd inställningarna på den här nivån för att lägga till det du konfigurerade i nivå 1 och 2.
Appar (nivå 3)
På den här nivån rekommenderas en standardnivå för programskydd för enheter där användarna får åtkomst till mer känslig information. Den här nivån introducerar avancerat dataskydd, förbättrad PIN-konfiguration och appskyddsprincip med Mobile Threat Defense. Den här konfigurationen är avsedd för användare som har åtkomst till data med hög risk.
Förutom inställningarna på nivå 1 och 2 rekommenderar Microsoft att du konfigurerar följande skydd och åtkomst för appar:
Aktivera höga dataskyddskrav
- Högt skydd vid överföring av telekommunikationsdata
- Ta emot data från endast principhanterade appar
- Blockera öppning av data i organisationsdokument
- Tillåt användare att öppna data från valda tjänster
- Blockera oönskade partner- eller icke-Microsoft-tangentbord
- Kräv/välj godkända tangentbord (Android)
- Blockera utskrift av organisationsdata
Aktivera krav för hög åtkomst
- Blockera enkel PIN-kod och kräva specifik minsta PIN-kodslängd
- Kräv PIN-återställning efter antal dagar
- Kräv klass 3 Biometri (Android 9.0+)
- Kräv åsidosättning av biometrisk kod med PIN-kod efter biometriska uppdateringar (Android)
Aktivera hög villkorlig programstart
- Kräv enhetslås (Android)
- Kräv högsta tillåtna hotnivå
- Kräv maxversion av operativsystemet
Mer information finns i Hög appskydd på nivå 3.
Efterlevnad (nivå 3)
På den här nivån kan du utöka Intunes inbyggda efterlevnadsfunktioner med hjälp av följande funktioner:
Integrera data från MTD-partner (Mobile Threat Defense)
- Med en MTD-partner kan dina efterlevnadsprinciper kräva att enheterna är på eller under en enhetshotnivå eller riskpoäng, enligt partnerns bedömning.
Använd en efterlevnadspartner som inte kommer från Microsoft med Intune.
Använd skript för att lägga till anpassade kompatibilitetsinställningar i dina principer för inställningar som inte är tillgängliga från Intune-användargränssnittet. (Windows, Linux)
Använd data för efterlevnadsprinciper med principer för villkorsstyrd åtkomst för att ge åtkomst till organisationens resurser.
Mer information finns i Nivå 3 – Avancerade konfigurationer för enhetsefterlevnad.
Enhetskonfiguration (nivå 3)
Den här nivån fokuserar på tjänster och funktioner på företagsnivå och kan kräva en infrastrukturinvestering. På den här nivån kan du skapa principer som:
Expandera lösenordsfri autentisering till andra tjänster i din organisation, inklusive certifikatbaserad autentisering, enkel inloggning för appar, multifaktorautentisering (MFA) och Vpn-gatewayen för Microsoft Tunnel.
Expandera Microsoft Tunnel genom att distribuera Microsoft Tunnel for Mobile Application Management (Tunnel för MAM), vilket utökar tunnelstödet till iOS- och Android-enheter som inte har registrerats med Intune. Tunnel för MAM är tillgänglig som ett Intune-tillägg.
Mer information finns i Använda tilläggsfunktioner för Intune Suite.
Konfigurera enhetsfunktioner som gäller för skiktet för inbyggd Windows-programvara. Använd vanligt villkorsläge för Android.
Använd Intune-principen för Windows Local Administrator Password Solution (LAPS) för att skydda det inbyggda lokala administratörskontot på dina hanterade Windows-enheter.
Mer information finns i Intune-stöd för Windows LAPS.
Skydda Windows-enheter med hjälp av Endpoint Privilege Management (EPM). EPM hjälper dig att köra organisationens användare som standardanvändare (utan administratörsrättigheter) och gör det möjligt för samma användare att utföra uppgifter som kräver utökade privilegier.
EPM är tillgängligt som ett Intune-tillägg. Mer information finns i Använda tilläggsfunktioner för Intune Suite.
Konfigurera specialiserade enheter som kiosker och delade enheter.
Distribuera skript om det behövs.
Mer specifik information om enhetskonfigurationsprinciper på den här nivån finns i Nivå 3 – Hög skydd och konfiguration.
Relaterad artikel
En fullständig lista över alla enhetskonfigurationsprofiler som du kan skapa finns i Tillämpa funktioner och inställningar på dina enheter med enhetsprofiler i Microsoft Intune.