Настройка Microsoft Intune для повышения безопасности (предварительная версия)

Рекомендации по безопасности, приведенные в этом документе, помогут вам улучшить состояние безопасности организации с помощью Microsoft Intune. На эти рекомендации влияют принятые отраслевые стандарты, такие как разработанные NIST, базовые показатели конфигурации, которые мы используем в корпорации Майкрософт, а также наш опыт взаимодействия с клиентами. Рекомендации в этой статье для Intune сосредоточены на устройствах, но руководствуются следующими основными аспектами Инициативы Microsoft Secure Future:

  • Защита удостоверений и секретов
  • Защита клиентов и изоляция производственных систем
  • Защита сетей
  • Защита инженерных систем
  • Мониторинг и обнаружение киберугроз
  • Ускорение реагирования и исправления

Совет

Некоторые организации могут принимать эти рекомендации точно так, как написано, в то время как другие могут внести изменения в зависимости от собственных бизнес-потребностей.

Мы рекомендуем реализовать все перечисленные ниже элементы управления там, где доступны лицензии. Эти шаблоны и методики помогают обеспечить безопасную основу для других ресурсов, созданных на основе этого решения. Со временем в этот документ будут добавлены дополнительные элементы управления.

Путем автоматизированной оценки

Проверка этого руководства вручную на соответствие конфигурации клиента может занять много времени и привести к ошибкам. Оценка "Никому не доверяй" преобразует этот процесс с помощью автоматизации для тестирования этих элементов конфигурации безопасности и многого другого. Дополнительные сведения см. в статье Что такое оценка "Никому не доверяй"?

Безопасный клиент

Обеспечьте согласованность управления, удостоверений и конфигураций на уровне клиента.

Проверка Минимальные требования к лицензии
Настройка тега области применяется для поддержки делегированного администрирования и доступа с минимальными привилегиями. Microsoft Intune (план 1)
Уведомления о регистрации устройств применяются для обеспечения осведомленности пользователей и безопасного подключения. Microsoft Intune (план 1)
Автоматическая регистрация устройств Windows применяется для устранения рисков, связанных с неуправляемых конечных точек Microsoft Intune (план 1)
Microsoft Entra ID P1 (для условного доступа)
Политики соответствия требованиям защищают устройства Windows Microsoft Intune (план 1)
Политики соответствия требованиям защищают устройства macOS Microsoft Intune (план 1)
Политики соответствия требованиям защищают полностью управляемые и корпоративные устройства Android Microsoft Intune (план 1)
Политики соответствия требованиям защищают личные устройства Android Microsoft Intune (план 1)
Политики соответствия требованиям защищают устройства iOS/iPadOS Microsoft Intune (план 1)
Единый вход платформы настроен для усиления проверки подлинности на устройствах macOS. Microsoft Intune (план 1)
Microsoft Entra ID P1 (для условного доступа)
Автоматическая регистрация Defender для конечной точки применяется для снижения риска неуправляемых угроз Android Microsoft Intune (план 1)
Defender для конечной точки (план 1)
Правила очистки устройств поддерживают гигиену клиента, скрывая неактивные устройства Microsoft Intune (план 1)
Политики условий защищают доступ к конфиденциальные данные Microsoft Intune (план 1)
Корпоративный портал настройки фирменной символики и поддержки повышают удобство взаимодействия с пользователем и доверие Microsoft Intune (план 1)
Аналитика конечных точек включена для выявления рисков на устройствах Windows Microsoft Intune (план 1)

Сведения о лицензии см. в разделе:

Защита устройств

Защита конечных точек с помощью конфигурации устройств и политик безопасности.

Проверка Минимальные требования к лицензии
Учетные данные локального администратора в Windows защищены с помощью Windows LAPS План Microsoft Intune
Учетные данные локального администратора в macOS защищены во время регистрации с помощью macOS LAPS Microsoft Intune (план 1)
Использование локальной учетной записи в Windows ограничено для сокращения несанкционированного доступа Microsoft Intune (план 1)
Данные в Windows защищены с помощью шифрования BitLocker Microsoft Intune (план 1)
Шифрование FileVault защищает данные на устройствах macOS Microsoft Intune (план 1)
Проверка подлинности в Windows использует Windows Hello для бизнеса Microsoft Intune (план 1)
Правила сокращения направлений атаки применяются к устройствам Windows, чтобы предотвратить эксплуатацию уязвимых системных компонентов Microsoft Intune (план 1)
Defender для конечной точки (план 1)
политики антивирусная программа Defender защищают устройства Windows от вредоносных программ Microsoft Intune (план 1)
Defender для конечной точки (план 1)
политики антивирусная программа Defender защищают устройства macOS от вредоносных программ Microsoft Intune (план 1)
Defender для конечной точки (план 1)
Политики брандмауэра Windows защищают от несанкционированного доступа к сети Microsoft Intune (план 1)
Политики брандмауэра macOS защищают от несанкционированного доступа к сети Microsoft Intune (план 1)
клиентский компонент Центра обновления Windows политики применяются для снижения риска уязвимостей без исправления Microsoft Intune (план 1)
Базовые показатели безопасности применяются к устройствам Windows для повышения уровня безопасности Microsoft Intune (план 1)
Политики обновления для macOS применяются для снижения риска уязвимостей без исправления. Microsoft Intune (план 1)
Политики обновлений для iOS/iPadOS применяются для снижения риска не исправленных уязвимостей. Microsoft Intune (план 1)

Сведения о лицензии см. в разделе:

Защита данных

Защита данных на устройствах и при передаче, а также обеспечение безопасного доступа к данным организации.

Проверка Минимальные требования к лицензии
Данные в Android защищены политиками защиты приложений Microsoft Intune (план 1)
Данные в iOS/iPadOS защищены политиками защиты приложений Microsoft Intune (план 1)
Политики условного доступа блокируют доступ из неуправляемых приложений Microsoft Intune (план 1)
Microsoft Entra ID P1 (для условного доступа)
Политики условного доступа блокируют доступ с несоответствующих устройств Microsoft Intune (план 1)
Microsoft Entra ID P1 (для условного доступа)
Профили защиты Wi-Fi защищают устройства iOS от несанкционированного доступа к сети Microsoft Intune (план 1)
Профили защиты Wi-Fi защищают устройства macOS от несанкционированного доступа к сети Microsoft Intune (план 1)
Безопасные профили Wi-Fi защищают устройства Android от несанкционированного доступа к сети Microsoft Intune (план 1)

Сведения о лицензии см. в разделе:

Связанные материалы

  • Last updated on