Поделиться через


Защита данных и устройств с помощью Microsoft Intune

Microsoft Intune поможет обеспечить безопасность и актуальность управляемых устройств, а также защитить данные организации от скомпрометированных устройств. Защита данных включает в себя контроль действий пользователей с данными организации как на управляемых, так и на неуправляемых устройствах. Этот процесс также распространяется на блокирование доступа к данным с устройств, которые могут быть скомпрометированы.

В этой статье рассматриваются многие встроенные возможности Intune и партнерские технологии, которые можно интегрировать с Intune. Узнав о них больше, вы сможете объединить несколько таких возможностей, чтобы создать более комплексные решения, помогающие направить путь взаимодействия пользователя в окружение, где действует принцип "Никому не доверяй".

В Центре администрирования Microsoft Intune Intune поддерживает управляемые устройства под управлением Android, iOS/iPad, Linux, macOS и Windows.

Используя Configuration Manager для управления локальными устройствами, вы сможете применять для таких устройств политики Intune, настроив подключение клиента или совместное управление.

Intune также может обрабатывать информацию с устройств, управляемых с помощью продуктов сторонних производителей, которые обеспечивают соответствие устройств нормативным требованиям, а также защищают мобильные устройства от угроз.

Защита устройств с помощью политик

Разверните безопасность конечных точек Intune, конфигурацию устройств и политики соответствия устройств, чтобы настроить устройства в соответствии с целями безопасности организации. Политики поддерживают один или несколько профилей, которые являются дискретными наборами специфичных для платформы правил, развертываемых в группах зарегистрированных устройств.

  • С помощью политик безопасности конечных точек разверните политики, ориентированные на безопасность, которые помогают сосредоточиться на безопасности устройств и снизить риски. Доступные задачи помогут вам определить устройства, подверженные риску, исправить эти устройства и восстановить их в соответствующее или более безопасное состояние.

  • С помощью политик конфигурации устройств можно управлять профилями, которые определяют параметры и возможности, доступные для устройств в вашей организации. Настраивайте устройства для защиты конечных точек, предоставляйте сертификаты для аутентификации, задавайте поведение обновления программного обеспечения и т. д.

  • С помощью политик соответствия устройств вы можете создать профили для различных платформ устройств, которые устанавливают требования к устройствам. Это могут быть требования использовать определенные версии операционной системы, шифровать диски, не выходить за пределы уровней угрозы, определенных программным обеспечением для управления угрозами.

    Intune может защитить устройства, которые не соответствуют вашим политикам, и оповестить об этом пользователя устройства, чтобы он мог привести устройство в состояние соответствия требованиям.

    При добавлении условного доступа к набору настройте политики, которые разрешают доступ к ресурсам вашей сети и организации только соответствующим устройствам. Ограничения доступа можно применять к общим файловым ресурсам и электронной почте компании. Политики условного доступа также работают с данными о состоянии устройства, предоставленными сторонними партнерами по обеспечению соответствия устройств требованиям, которые вы интегрируете с Intune.

Ниже приведены некоторые из параметров безопасности и задач, которыми можно управлять с помощью доступных политик.

  • Методы проверки подлинности . Настройте способ проверки подлинности устройств в ресурсах, электронной почте и приложениях вашей организации.

    • Используйте сертификаты для проверки подлинности приложений, ресурсов организации, а также для подписывания и шифрования электронной почты с помощью S/MIME. Вы также можете установить производные учетные данные, если для вашего окружения нужно использовать смарт-карты.

    • Настройте параметры, которые помогают ограничить риск, например:

      • Предусмотрите многофакторную проверку подлинности (MFA), чтобы добавить дополнительный уровень проверки подлинности для пользователей.
      • Задайте требования на ввод ПИН-кода и пароля, прежде чем получать доступ к ресурсам.
      • Включите Windows Hello для бизнеса для устройств Windows.
  • Шифрование устройств — управление BitLocker на устройствах Windows и FileVault в macOS.

  • Обновления программного обеспечения — управляйте тем, как и когда для устройства будет выполняться обновление программного обеспечения. Поддерживаются следующие компоненты:

    • Обновления встроенного ПО Android:
      • Встроенное ПО по воздуху (FOTA) — поддерживается некоторыми изготовителями оборудования, вы можете использовать FOTA для удаленного обновления встроенного ПО устройств.
      • Zebra LifeGuard over-the-Air (LG OTA) — управление обновлениями встроенного ПО для поддерживаемых устройств Zebra через центр администрирования Intune.
    • iOS — управление версиями операционной системы устройств, а также когда устройства проверка для обновлений и установки обновлений.
    • macOS — управление обновлениями программного обеспечения для устройств macOS, зарегистрированных в качестве защищенных устройств.
    • Windows. Чтобы управлять клиентский компонент Центра обновления Windows для устройств, можно настроить, когда устройства сканируют или устанавливают обновления, удерживают набор управляемых устройств в определенных версиях компонентов и многое другое.
  • Базовые показатели безопасности — развертывание базовых показателей безопасности для создания основного состояния безопасности на устройствах Windows. Базовые показатели безопасности — это предварительно настроенные группы параметров Windows, которые рекомендуются соответствующими группами продуктов. Базовые показатели можно использовать без изменений или изменить некоторые из них в соответствии с целями безопасности для целевых групп устройств.

  • Виртуальные частные сети (VPN) — с помощью профилей VPN назначьте устройствам параметры VPN, чтобы они могли легко подключаться к сети вашей организации. Intune поддерживает несколько типов VPN-подключений и приложений, которые включают как встроенные возможности для некоторых платформ, так и первые и сторонние VPN-приложения для устройств.

  • Решение для паролей локального администратора Windows (LAPS)с помощью политики Windows LAPS вы можете:

    • Принудительное применение требований к паролям для учетных записей локального администратора
    • Резервное копирование учетной записи локального администратора с устройств в Active Directory (AD) или Microsoft Entra
    • Запланируйте смену этих паролей учетных записей, чтобы обеспечить их безопасность.

Защита данных с помощью политик

Управляемые Intune приложения, а также политики защиты приложений Intune позволяют предотвратить утечку данных и защитить данные вашей организации. Эти меры защиты могут применяться к устройствам, зарегистрированным в Intune, и к устройствам, которые не зарегистрированы.

  • Intune управляемые приложения (или сокращенно управляемые приложения) — это приложения, которые интегрируют пакет SDK для Intune приложений или упаковываются Intune App Wrapping Tool. Этими приложениями можно управлять с помощью политик защиты приложений Intune. Чтобы ознакомиться со списком общедоступных управляемых приложений, см. статью Защищенные приложения Microsoft Intune.

    Пользователи могут использовать управляемые приложения для работы как с данными вашей организации, так и с собственными личными данными. Однако если политики защиты приложений требуют использования управляемого приложения, управляемое приложение является единственным приложением, которое можно использовать для доступа к данным вашей организации. защита приложений правила не применяются к персональным данным пользователя.

  • Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Правила определяют управляемое приложение, которое необходимо использовать, и определяют, что можно сделать с данными, пока приложение используется.

Ниже приведены примеры параметров защиты и ограничений, которые можно установить с помощью политик защиты приложений и управляемых приложений:

  • Настройка защиты на уровне приложений, например, запрашивая ПИН-код для открытия приложения в рабочем контексте.
  • Управляйте общим доступом к данным организации между приложениями на устройстве, например блокировкой копирования и вставки или захватом экрана.
  • Запретить сохранение данных вашей организации в личных хранилищах.

Использование действий устройства для защиты устройств и данных

В центре администрирования Microsoft Intune можно выполнять действия устройства, которые помогают защитить выбранное устройство. Вы также можете выполнить подмножество этих действий в качестве массовых действий устройств, чтобы применить изменения на нескольких устройствах одновременно. Кроме того, некоторые удаленные действия из Intune можно также использовать с совместно управляемыми устройствами.

Действия устройств не являются политикой и оказывают воздействие только раз (при вызове). Они применяются либо сразу, если устройство имеет подключение к Интернету, либо при следующей загрузке или синхронизации устройства в Intune. Расценивайте эти действия как дополнение к использованию политик, которые настраивают и поддерживают конфигурации безопасности для группы устройств.

Ниже приведены примеры действий, которые можно использовать для защиты устройств и данных.

Устройства под управлением Intune:

  • Смена ключа BitLocker (только для Windows)
  • Отключить блокировку активации (только для устройств Apple, см. инструкции по отключению блокировки активации с помощью Apple Business Manager)
  • Полная или быстрая проверка (только Для Windows)
  • Удаленная блокировка
  • Прекращение использования (при этом данные организации удаляются с устройства, оставляя персональные данные нетронутыми)
  • Обновление механизма обнаружения угроз Microsoft Defender
  • Очистка (сброс устройства к заводским настройкам с удалением всех данных, приложений и параметров)

Устройства, управляемые Configuration Manager:

  • Прекращение использования
  • Очистка
  • Синхронизация (принудительная немедленная синхронизация устройства с Intune для поиска новых политик или ожидающих действий)

Интеграция с другими продуктами и технологиями партнеров

Intune поддерживает интеграцию с приложениями партнеров из собственных и сторонних источников, которые расширяют встроенные возможности. Вы также можете интегрировать Intune с несколькими технологиями корпорации Майкрософт.

Партнеры по соответствию требованиям

Узнайте об использовании партнеров по соответствию устройств с Intune. При управлении устройством с помощью партнера по управлению мобильными устройствами, отличного от Intune, вы можете интегрировать эти данные о соответствии с Microsoft Entra ID. При интеграции политики условного доступа могут использовать данные партнеров вместе с данными о соответствии из Intune.

Configuration Manager.

Вы можете использовать многие политики Intune и действия устройств для защиты устройств, которыми вы управляете с помощью Configuration Manager. Для поддержки этих устройств следует настроить совместное управление или подключение клиента. Вы также можете комбинировать эти возможности для Intune.

  • Совместное управление позволяет одновременно управлять устройством Windows как с Configuration Manager, так и с Intune. Установите клиент Configuration Manager и зарегистрируйте устройство в Intune. Устройство взаимодействует с обеими службами.

  • При подключении клиента вы настроите синхронизацию между Configuration Manager сайтом и клиентом Intune. Эта синхронизация предоставляет единое представление для всех устройств, которыми вы управляете с помощью Microsoft Intune.

После установки подключения между Intune и Configuration Manager устройства из Configuration Manager доступны в Центре администрирования Microsoft Intune. Затем, чтобы защитить эти устройства, для них можно развернуть политики Intune или использовать действия устройства.

Ниже перечислены некоторые из применяемых функций защиты.

  • Развертывайте сертификаты на устройствах с помощью протокола SCEP или профилей сертификатов PKCS Intune.
  • Используйте политику соответствия требованиям.
  • Используйте политики защиты конечных точек, такие как антивирусные программы, обнаружение и отклик на конечных точках и правила Брандмауэра.
  • Применяйте базовые показатели безопасности.
  • Управляйте Обновл. Windows.

Мобильные приложения для защиты от угроз

Приложения защиты от угроз на мобильных устройствах (MTD) активно проверяют и анализируют устройства на наличие угроз. Интеграция (подключение) приложений защиты от угроз на мобильных устройствах с Intune позволяет получать оценку уровня угрозы устройства. Оценка угрозы устройства или уровня риска — это важный инструмент для защиты ресурсов организации от скомпрометированных мобильных устройств. Затем вы можете использовать этот уровень угрозы в различных политиках, таких как политики условного доступа, чтобы обеспечить доступ к этим ресурсам.

Используйте данные об уровне угрозы с политиками для обеспечения соответствия устройств требованиям, защиты приложений и условного доступа. Эти политики используют данные, чтобы заблокировать доступ к ресурсам вашей организации для устройств, не соответствующих требованиям.

Имея интегрированное приложение MTD:

  • Для зарегистрированных устройств:

    • Используйте Intune для развертывания приложения MTD на устройствах и последующего управления им.
    • Чтобы оценить соответствие требованиям, разверните политики соответствия устройств, которые работают на основе сообщенного уровня угрозы устройства.
    • Определите политики условного доступа, которые учитывают уровень угроз для устройств.
    • Определите политики защиты приложений, чтобы узнать, когда блокировать или разрешать доступ к данным, основываясь на уровне угрозы для устройства.
  • Для устройств, которые не регистрируются в Intune но запускают приложение MTD, которое интегрируется с Intune, используйте данные об уровне угроз с политиками защиты приложений, чтобы заблокировать доступ к данным организации.

Intune поддерживает интеграцию с:

Microsoft Defender для конечной точки

Сама по себе платформа "Microsoft Defender для конечной точки" обеспечивает несколько преимуществ, ориентированных на безопасность. Microsoft Defender для конечной точки также интегрируется с Intune и поддерживается на нескольких платформах устройств. Благодаря интеграции вы получаете приложение для защиты от мобильных угроз и дополняете Intune возможностями для защиты данных и устройств. Предоставляются следующие возможности:

  • Поддержка Microsoft Tunnel. На устройствах Android Microsoft Defender для конечной точки — это клиентское приложение, которое используется с Microsoft Tunnel, решением VPN-шлюза для Intune. При использовании в качестве клиентского приложения Microsoft Tunnel подписка на Microsoft Defender для конечной точки не требуется.

  • Задачи безопасности. С помощью задач безопасности администраторы Intune могут воспользоваться возможностями управления угрозами и уязвимостями Microsoft Defender для конечной точки. Как это работает:

    • Ваша команда Defender для конечных точек определяет устройства под угрозой и создает задачи безопасности для Intune в центре безопасности Defender для конечной точки.
    • Эти задачи отображаются в Intune с рекомендациями по устранению рисков, которые администраторы Intune могут использовать для снижения риска.
    • После устранения задачи в Intune это состояние передается обратно в центр безопасности Defender для конечной точки, где можно оценить результаты устранения рисков.
  • Политики безопасности конечных точек. Для следующих политик безопасности конечных точек Intune нужна интеграция с Microsoft Defender для конечной точки. При использовании подключения клиента эти политики можно развернуть на устройствах, которыми вы управляете с помощью Intune или Configuration Manager.

Условный доступ

Условный доступ — это возможность Microsoft Entra, которая работает с Intune для защиты устройств. Для устройств, которые регистрируются с помощью Microsoft Entra ID, политики условного доступа могут использовать сведения об устройстве и соответствии из Intune для принудительного принятия решений о доступе для пользователей и устройств.

Вы можете объединить политики условного доступа с такими компонентами:

  • Политики соответствия устройств могут требовать, чтобы устройство было отмечено как соответствующее, прежде чем это устройство будет использоваться для доступа к ресурсам вашей организации. Политики условного доступа определяют приложения и службы, которые вы хотите защитить, условия, при которых приложения или службы могут быть доступны, а также пользователей, к которым будет применена эта политика.

  • защита приложений политики могут добавить уровень безопасности, который гарантирует, что только клиентские приложения, поддерживающие Intune политики защиты приложений, могут получать доступ к веб-ресурсам, таким как Exchange или другим службам Microsoft 365.

Кроме того, вы можете использовать условный доступ с указанными ниже ресурсами, чтобы гарантировать защиту устройств.

  • Microsoft Defender для конечной точки и сторонние приложения MTD
  • Приложения партнеров по обеспечению соответствия устройств требованиям
  • Microsoft Tunnel

Добавление управления привилегиями конечных точек

Управление привилегиями конечных точек (EPM) позволяет запускать пользователей Windows в качестве стандартных пользователей, повышая привилегии только при необходимости, в зависимости от правил и параметров организации, заданных вашей организацией. Эта схема поддерживает применение доступа с минимальными привилегиями— основного клиента архитектуры безопасности "Никому не доверяй". EPM позволяет ИТ-командам более эффективно управлять стандартными пользователями и ограничивать их область атак, позволяя сотрудникам работать только в качестве администраторов для конкретных утвержденных приложений или задач.

Задачи, для которых обычно требуются права администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и запуск определенных диагностика Windows.

Развертывание определяемых вами правил повышения прав EPM позволяет разрешить запуск только приложений, которым вы доверяете, в контексте с повышенными привилегиями. Например, правила могут требовать совпадения хэша файлов или наличия сертификата для проверки целостности файлов перед запуском на устройстве.

Совет

Служба Управления привилегиями конечных точек доступна в виде надстройки Intune, которая требует дополнительной лицензии на использование и поддерживает Windows 10 и Windows 11 устройствах.

Дополнительные сведения см. в разделе Endpoint Privilege Management.

Дальнейшие действия

Используйте возможности Intune, чтобы направить путь взаимодействия пользователя в окружение, где действует принцип "Никому не доверяй". Это защитит ваши данные и обеспечит безопасность устройств. Помимо предыдущих встроенных ссылок, перейдя по которым вы сможете узнать дополнительные сведения об этих возможностях, ознакомьтесь со сведениями о защите и совместном использовании данных в Intune.