Подход к развертыванию "Никому не доверяй" с Microsoft Intune

Microsoft Intune — это решение для управления мобильными устройствами, которое поддерживает модель "Никому не доверяй" в вашей организации.

"Никому не доверяй" — это не продукт или услуга. Вместо этого это современная стратегия кибербезопасности, которая предполагает отсутствие неявного доверия даже внутри корпоративной сети. Вместо того, чтобы доверять пользователям, устройствам или приложениям по умолчанию, подход "Никому не доверяй" явно проверяет каждый запрос на доступ, постоянно оценивает риск и обеспечивает минимальный доступ к цифровым ресурсам.

Основные принципы "Никому не доверяй":

Выполняйте проверку явным образом. Руководствуйтесь принципом минимальных прав. Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных. Минимизируйте радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Зачем управлять конечными точками для "Никому не доверяй"?

Современное предприятие имеет невероятное разнообразие конечных точек, обращаюющихся к данным организации. Пользователи работают из любого места, с любого устройства, больше, чем в любое время в истории. Это создает массивную область атаки, и конечные точки могут легко стать самым слабым звеном в стратегии безопасности "Никому не доверяй".

Хотя организации обычно активно защищают компьютеры от уязвимостей и атак, мобильные устройства часто не защищены и не защищены. Получение видимости конечных точек, которые обращаются к корпоративным ресурсам, является первым шагом в стратегии устройства "Никому не доверяй".

Чтобы избежать риска для данных, необходимо отслеживать каждую конечную точку на наличие рисков и применять детализированные средства управления доступом, чтобы обеспечить соответствующий уровень доступа на основе политики организации. Например, если личное устройство взломано, его доступ можно заблокировать, чтобы корпоративные приложения не подвергались воздействию известных уязвимостей.

Общие сведения о том, как Intune поддерживает принципы "Никому не доверяй" (явно проверять, использовать минимальный доступ и предполагать нарушение) см. в статье Никому не доверяй с помощью Microsoft Intune.

Семиуровневый процесс развертывания "Никому не доверяй"

Создание комплексной системы безопасности "Никому не доверяй" для устройств предполагает постепенное внедрение уровней защиты. Каждый уровень основан на предыдущем уровне, начиная с базовой защиты данных и переходя к сложному обнаружению угроз и защите от потери данных.

В следующей таблице показан рекомендуемый прогресс по развертыванию для обеспечения безопасности устройств "Никому не доверяй".

Уровень Возможности защиты Что вы делаете Предварительные условия Требования лицензирования
1 Политики защиты приложений Защита данных организации в приложениях без регистрации устройств. Создает основу для сценариев использования собственных устройств (BYOD). Поддерживаемые приложения (приложения Microsoft 365, приложения с поддержкой политик) Microsoft 365 E3, E5, F1, F3, F5
2 Регистрация устройств Установить связь между пользователем, устройством и Intune. Включите управление устройствами и видимость конечных точек, обращаюющихся к ресурсам. Необходимые условия для конкретной платформы (центр MDM, сертификаты) Microsoft 365 E3, E5, F1, F3, F5
3 Политики соответствия Определите минимальные требования, которые должны соответствовать устройствам (защита паролем, версия ОС, шифрование). Пометьте устройства как соответствующие или несоответствующие. Устройства, зарегистрированные на уровне 2 Microsoft 365 E3, E5, F3, F5
4 Требование работоспособных и соответствующих устройств Реализуйте корпоративные политики удостоверений и доступа к устройствам без доверия. Обратитесь к группе удостоверений, чтобы обеспечить соответствие требованиям с помощью условного доступа, блокируя доступ с устройств, которые не соответствуют требованиям безопасности. Политики соответствия требованиям уровня 3, координация с администраторами удостоверений Microsoft 365 E3, E5, F3, F5
5 Профили конфигурации Настройте параметры устройства для усиления безопасности. Развертывание базовых показателей безопасности. Перемещение элементов управления безопасностью из групповая политика в облачные политики. Зарегистрированные устройства уровня 2 Microsoft 365 E3, E5, F3, F5
6 Мониторинг рисков устройств Интеграция с Microsoft Defender для конечной точки для мониторинга рисков устройств, обнаружения угроз и блокировки доступа на основе уровня риска. Развертывание базовых показателей безопасности. настройка Microsoft Defender для конечной точки, координация с командой по защите от угроз Microsoft 365 E5, F5
7 DLP конечной точки Защита конфиденциальных данных в конечных точках с помощью Защита от потери данных Microsoft Purview. Мониторинг и управление операциями с файлами на основе меток конфиденциальности. Конфигурация Microsoft Purview, устройства, подключенные к MDE на уровне 6 Microsoft 365 E5, надстройка соответствия E5, надстройка соответствия F5

Основные сведения о семи уровнях развертывания

В этом разделе объясняется каждый уровень в прогрессе развертывания "Никому не доверяй". Хотя в семислойной таблице показано, что делает каждый слой, эти описания предоставляют контекст, примеры и уточнение ключевых понятий.

защита приложений без регистрации (уровень 1)

политики защита приложений защищают данные организации в приложениях, контролируя доступ пользователей к рабочим данным и совместное использование. Уровень 1 сосредоточен на защите данных на неуправляемых персональных устройствах без необходимости регистрации, но политики защиты приложений также могут применяться к зарегистрированным устройствам для глубокой защиты.

Пользователи устанавливают приложения, такие как Outlook или Teams, из магазина, войдите с помощью своей рабочей учетной записи и автоматически применяются политики защиты данных. Этот подход обычно называется MAM без регистрации или использования собственного устройства (BYOD).

Примере: На личном iPhone пользователя установлен Outlook. Политика защиты приложений требует ПИН-код для доступа к рабочей электронной почте, предотвращает копирование рабочих данных в личные приложения и блокирует сохранение вложений электронной почты в личное облачное хранилище. Пользователь сохраняет полный контроль над своим устройством, а данные организации остаются защищенными.

Совет

политики защита приложений можно развернуть как на незарегистрированных устройствах (уровень 1), так и на зарегистрированных устройствах (уровень 2+) для дополнительной защиты на уровне приложений, помимо управления устройствами.

Дополнительные сведения см. в разделе Руководство по развертыванию: политики защита приложений.

Регистрация устройств (уровень 2)

Регистрация регистрирует устройства с помощью Intune, что обеспечивает комплексное управление устройствами. Intune развертывает приложения, настраивает параметры, применяет политики соответствия требованиям и обеспечивает полную видимость состояния устройства.

Примере: Корпоративный ноутбук регистрируется в Intune во время настройки Windows Autopilot. Intune настраивает Wi-Fi, развертывает сертификаты, устанавливает базовые показатели безопасности, применяет шифрование BitLocker и отслеживает соответствие политике паролей.

Дополнительные сведения см. в разделе Руководство по развертыванию. Регистрация устройств.

Политики соответствия требованиям (уровень 3)

Политики соответствия требованиям определяют требования к безопасности, которым должны соответствовать устройства для доступа к ресурсам организации. Эти политики оценивают работоспособности устройств и помечают устройства как соответствующие или несоответствующие на основе настроенных параметров, таких как требования к паролям, версии ОС, состояние шифрования и обнаружение джейлбрейка.

Примере: Политика соответствия требованиям требует, чтобы на устройствах Windows был включен BitLocker, запускались минимальная версия ОС и использовался пароль не менее восьми символов. Ноутбук пользователя, в который отсутствует BitLocker, помечен как несоответствующий. Пользователь получает уведомления о требовании и имеет время на исправление, прежде чем доступ будет заблокирован (при принудительном применении уровня 4).

Совет

Политики соответствия требованиям оценивают состояние устройства, но не блокируют доступ автоматически. Они работают с условным доступом (уровень 4) для обеспечения соответствия требованиям.

Дополнительные сведения см. в разделе Руководство по развертыванию. Политики соответствия требованиям.

Требовать работоспособные и соответствующие требованиям устройства (уровень 4)

Этот уровень реализует политики удостоверений и доступа к устройствам уровня предприятия, требуя от устройств работоспособности и соответствия требованиям перед предоставлением доступа к ресурсам организации. Вы работаете с командой удостоверений для создания политик условного доступа в Microsoft Entra ID, которые обеспечивают принятие решений о соответствии требованиям уровня 3.

Этот уровень представляет собой переход от оценки к принудительному применению. После того как политики соответствия требованиям помечают устройства как соответствующие или несоответствующие, политики условного доступа используют этот сигнал для предоставления или блокировки доступа к электронной почте, SharePoint, Teams и другим защищенным ресурсам.

Примере: Ваша команда удостоверений настраивает политику условного доступа, которая требует, чтобы устройства были помечены как соответствующие, прежде чем пользователи смогут получить доступ к приложениям Microsoft 365. Пользователь пытается получить доступ к Outlook с устройства Windows, управляемого Intune. Устройство не соответствует требованиям, так как оно не соответствует требованиям Intune, шифрование диска (BitLocker) не включено. Так как устройство не помечено как соответствующее, условный доступ блокирует доступ к Outlook и предлагает пользователю устранить проблему. Когда пользователь включает BitLocker, устройство сообщает о своем обновленном состоянии соответствия Intune. После того как устройство будет оценено как совместимое, условный доступ повторно оценивает вход и доступ к Outlook восстанавливается.

Примечание.

Для этого уровня требуется координация с командой по идентификации. Хотя в Центре администрирования Intune представлен узел условного доступа из Microsoft Entra ID, политики условного доступа создаются с идентификатором Entra, а не Intune. Сведения о рабочем процессе см. в разделе Координация группы удостоверений .

Дополнительные сведения см. в разделе Требовать управляемые устройства с условным доступом.

Профили конфигурации (уровень 5)

Профили конфигурации настраивают параметры устройства для повышения безопасности, включения функций и создания согласованных конфигураций в вашем автопарке. Хотя политики соответствия требованиям (уровень 3) оценивают соответствие устройств требованиям, профили конфигурации заблаговременно развертывают параметры, чтобы убедиться, что устройства настроены правильно.

Параметры можно развернуть с помощью профилей конфигурации устройств или политик безопасности конечных точек. Профили конфигурации устройств поддерживают широкие сценарии, включая Wi-Fi и профили VPN, развертывание сертификатов, политики паролей, параметры шифрования дисков и групповая политика эквиваленты. Политики безопасности конечных точек обеспечивают упрощенный интерфейс, ориентированный на параметры безопасности, такие как антивирусная программа, шифрование дисков, брандмауэр, сокращение направлений атак, обнаружение и реагирование конечных точек.

Примере: Вы развертываете базовые показатели безопасности Windows на корпоративных ноутбуках. Базовый план включает брандмауэр Windows, настраивает шифрование BitLocker, отключает устаревшие протоколы, включает правила сокращения направлений атак и настраивает десятки других параметров безопасности. Пользователям не нужно настраивать какие-либо из этих параметров вручную— Intune применяет их автоматически.

Совет

Базовые показатели безопасности — это предварительно настроенные профили, содержащие рекомендуемые майкрософт параметры безопасности. Используйте их в качестве отправной точки, а затем настройте в соответствии с потребностями вашей организации.

Дополнительные сведения см. в разделе Развертывание профилей конфигурации.

Мониторинг рисков устройств (уровень 6)

Мониторинг рисков устройств интегрирует Microsoft Defender для конечной точки с Intune для добавления непрерывного обнаружения угроз, оценки рисков устройств и управления доступом на основе рисков. Этот уровень переходит от статических проверок соответствия требованиям к динамическому мониторингу безопасности, который реагирует на активные угрозы в режиме реального времени.

При подключении устройств к Microsoft Defender для конечной точки они начинают сообщать данные телеметрии безопасности и аналитики угроз. Defender назначает каждому устройству уровень риска (защищенный, низкий, средний, высокий или недоступный) на основе обнаруженных угроз, уязвимостей и состояния безопасности. Этот уровень риска можно использовать в политиках соответствия требованиям, чтобы заблокировать доступ с устройств с высоким риском или активировать действия по исправлению.

Примере: Ноутбук пользователя заражается вредоносными программами. Microsoft Defender для конечной точки обнаруживает угрозу и помечает устройство как высокий риск. Политика соответствия требованиям, оценивающая риск устройства, немедленно помечает устройство как несоответствующее. Условный доступ блокирует доступ пользователя к ресурсам организации до тех пор, пока угроза не будет устранена и риск устройства не вернется к приемлемому уровню.

Совет

Интеграция Defender для конечной точки с Intune также позволяет развернуть более глубокие конфигурации безопасности, включая базовый план безопасности Microsoft Defender для конечной точки и расширенные параметры защиты от угроз, такие как правила сокращения направлений атак, управляемый доступ к папкам и защита сети.

Дополнительные сведения см. в разделе интеграция Microsoft Defender для конечной точки.

Защита от потери данных конечной точки (уровень 7)

Защита от потери данных конечных точек использует Microsoft Purview для предотвращения выхода конфиденциальных данных из управляемых конечных точек с помощью операций копирования, печати, отправки или передачи. В то время как предыдущие уровни защищают доступ к ресурсам, этот уровень защищает сами данные, отслеживая и контролируя взаимодействие пользователей с конфиденциальными файлами.

Устройства, подключенные к Microsoft Defender для конечной точки уровня 6, автоматически подключены к конечной точке защиты от потери данных без дополнительной Intune конфигурации. Ваша команда по соответствию требованиям создает политики защиты от потери данных на портале Microsoft Purview, определяющие, какие метки конфиденциальности, типы файлов или шаблоны содержимого инициируют защитные действия.

Примере: Ваша команда по соответствию требованиям создает политику защиты от потери данных, запрещающую копирование файлов с меткой "Конфиденциальные" на USB-накопители или передачу в личное облачное хранилище. Пользователь пытается скопировать конфиденциальный финансовый отчет на USB-накопитель. Конечная точка защиты от потери данных блокирует операцию и отображает уведомление с объяснением ограничения. В зависимости от того, как команда по соответствию настроит политику, блок может быть абсолютным или позволить пользователю предоставить бизнес-обоснование и продолжить работу. Все действия регистрируются для создания отчетов о соответствии требованиям.

Примечание.

Как администратор Intune, ваша роль для защиты от потери данных конечной точки ограничена обеспечением подключения устройств к Microsoft Defender для конечной точки (уровень 6). Все действия по созданию политик защиты от потери данных и управлению ими выполняются на портале Microsoft Purview вашей группой по соответствию требованиям.

Дополнительные сведения см . в разделах Сведения о защите от потери данных в конечной точке и Начало работы с DLP конечной точки.

Регистрация и подключение

При реализации этих уровней вы будете работать с двумя связанными, но разными понятиями: регистрация и подключение. Понимание разницы помогает прояснить, что происходит на каждом уровне.

Регистрация (уровень 2) регистрирует устройства с помощью Intune для комплексного управления устройствами. Подключение (уровни 6–7) настраивает устройства для передачи сведений определенным службам, таким как Microsoft Defender для конечной точки или Microsoft Purview.

Регистрация Адаптация
Действие Регистрирует устройства для управления с помощью Intune. Intune управляет всем устройством, включая приложения, параметры и политики. Настраивает устройства для обмена информацией с определенными службами Microsoft 365 (в настоящее время Microsoft Defender для конечной точки и Microsoft Purview).
Scope Полное управление устройствами— настройка параметров, развертывание приложений, обеспечение соответствия требованиям, мониторинг работоспособности устройства. Только для конкретных возможностей службы. Например, подключение к MDE позволяет обнаруживать угрозы; подключение к Purview обеспечивает защиту от потери данных.
В этом развертывании Уровень 2. Регистрация устройств в управлении Intune. Уровень 6. Подключение устройств к Microsoft Defender для конечной точки с помощью Intune.
Уровень 7. Устройства, подключенные к MDE, автоматически подключены к DLP конечной точки Microsoft Purview.
Способ выполнения Методы регистрации для конкретных платформ: Microsoft Entra присоединение (автоматическая регистрация), Windows Autopilot, автоматическая регистрация устройств Apple, регистрация вручную. Используйте Intune для развертывания конфигурации подключения на зарегистрированных устройствах. Устройства должны быть зарегистрированы в Intune, прежде чем вы сможете подключить их к MDE или Purview.

Примечание.

Подключение к Microsoft Defender для конечной точки автоматически подключает устройства для возможностей Microsoft Purview, включая защиту от потери данных конечных точек. Дополнительная настройка Intune не требуется.

Координация с командами Microsoft 365

Для реализации безопасности устройств "Никому не доверяй" требуется координация между несколькими командами в вашей организации. В то время как вы управляете политиками Intune, другие команды управляют дополнительными службами, которые совместно работают для обеспечения защиты.

Команда по идентификации (Microsoft Entra ID)

Их ответственность: Управление политиками условного доступа, настройка требований к проверке подлинности и администрирование клиента Microsoft Entra ID.

Ваша координация:

  • После создания политик защиты приложений (уровень 1) обратитесь к команде удостоверений, чтобы создать политику условного доступа, требующую утвержденных приложений.
  • После создания политик соответствия (уровень 3) согласуйте политику условного доступа, требующую устройств, соответствующих требованиям:
    1. Вы создаете и назначаете политики соответствия требованиям в Intune для определения требований к устройству.
    2. Команда удостоверений создает политику условного доступа в Центр администрирования Microsoft Entra.
    3. Политика условного доступа использует элемент управления предоставлением "Требовать, чтобы устройство было отмечено как соответствующее".
    4. Обе политики ориентированы на одни и те же группы пользователей.
    5. Протестируйте вместе с помощью средства " Что если " условного доступа перед включением принудительного применения.
  • Подробные сведения о рабочем процессе см. в статье Общие способы использования условного доступа.
  • Сведения о создании политики см . в разделе Требование управляемых устройств с условным доступом.

Связанные рекомендации:условный доступ с Intune

Группа по защите от угроз (Microsoft Defender)

Их ответственность: Настройка службы Microsoft Defender для конечной точки и управление ими, исследование угроз и управление рабочими процессами центра управления безопасностью (SOC).

Ваша координация:

  • Использование Intune для подключения устройств к Microsoft Defender для конечной точки (уровень 6)
  • Развертывание базовых показателей безопасности Windows и базовых показателей безопасности Defender для конечной точки на управляемых устройствах
  • Получение сигналов о рисках устройств от Defender, которые поступают в политики соответствия требованиям
  • Выполнение Intune задач безопасности, созданных администраторами безопасности Defender для устранения обнаруженных уязвимостей и неправильной конфигурации
  • Координация реагирования на инциденты при обнаружении угроз на управляемых устройствах

Связанные рекомендации:

Группа по безопасности и конфиденциальности данных (Microsoft Purview)

Их ответственность: Определение схемы конфиденциальности данных, создание политик защиты от потери данных и управление требованиями к соответствию в Microsoft Purview.

Ваша координация:

  • Убедитесь, что устройства подключены для поддержки защиты от потери данных конечной точки (автоматически с подключением MDE на уровне 6)
  • Определение групп пользователей, которые следует включить или исключить из политик защиты от потери данных
  • Проверка видимости устройства на портале Microsoft Purview
  • Поддержка обучения пользователей, когда политики защиты от потери данных блокируют или предупреждают об операциях с данными

Примечание.

Как администратор Intune, ваша роль защиты от потери данных в конечной точке ограничена тем, чтобы обеспечить подключение устройств к Microsoft Defender для конечной точки. Устройства, подключенные к MDE, автоматически становятся устройствами с поддержкой защиты от потери данных без дополнительной Intune конфигурации. Все действия по созданию политик защиты от потери данных и управлению ими выполняются на портале Microsoft Purview вашей группой по соответствию требованиям.

Связанные рекомендации:

Рекомендации по координации между командами

  • Проведение регулярных координационных собраний во время первоначального развертывания каждого уровня.
  • Владение документом . Четкое определение того, какая команда управляет политиками.
  • Тестируйте вместе . Перед применением используйте режим аудита и средства What If.
  • Согласование по группам пользователей . Обеспечьте согласованность назначений групп между службами.
  • Планирование взаимодействия . Координируйте уведомления пользователей, когда политики могут повлиять на взаимодействие с пользователем.
  • Совместное выполнение обязанностей по мониторингу . Каждая команда отслеживает свою службу, но делится аналитическими сведениями о влиянии на пользователей.

Дальнейшие действия

Начало работы с безопасностью устройства "Никому не доверяй":

Дополнительные сведения о "Никому не доверяй":

Изучите расширенные уровни защиты: