Управление устройствами и приложениями в Microsoft 365 бизнес премиум

Важной частью стратегии безопасности в Microsoft 365 бизнес премиум является защита компьютеров, планшетов и телефонов, используемых для доступа к данным компании. Бизнес Премиум включает Microsoft Intune (план 1), комплексное решение для управления устройствами, которое позволяет регистрировать устройства, отслеживать их и управлять ими. Дополнительные сведения см. в статье Общие сведения о Microsoft Intune.

Устройства, управляемые Intune, обычно являются корпоративными устройствами, но они также могут быть личными устройствами (также известными как перенос собственного устройства или BYOD). В Microsoft 365 для кампаний большинство устройств, скорее всего, будут BYOD.

Intune предоставляет две основные стратегии управления устройствами, которые обращаются к данным компании:

  • Управление мобильными устройствами (MDM): организация контролирует все аспекты устройства. После регистрации устройства в Intune администраторы могут устанавливать приложения, разрешать или блокировать регистрацию на платформе, блокировать личные устройства и многое другое. Если устройство когда-либо потеряно или украдено, вы можете удаленно очистить его. Зарегистрированное устройство, как утверждается, управляется.

    Мы всегда рекомендуем MDM для корпоративных устройств. Инструкции в этой статье см. в разделе Управление мобильными устройствами в Intune для защиты устройств.

  • Управление мобильными приложениями (MAM): пользователь управляет устройством, но организация контролирует доступ к корпоративным данным на устройстве. Необходимо создать политики, которые блокируют регистрацию личных устройств пользователей в MDM. Политики управления приложениями не позволяют пользователям копировать бизнес-данные из Приложения Microsoft 365 в личные приложения. Если устройство когда-либо было потеряно или украдено, вы можете удаленно удалить все данные организации из управляемых приложений. Говорят, что устройство неуправляемо.

    Для личных устройств можно использовать MDM или MAM. Инструкции по MAM в этой статье см. в статье Управление мобильными приложениями в Intune для защиты данных.

В зависимости от характера устройств в вашей организации можно выбрать один или оба способа защиты доступа к данным в организации.

В оставшейся части этой статьи описываются рекомендуемые варианты MDM и MAM в business Premium.

Управление мобильными устройствами с помощью Intune для защиты устройств

В разделе Бизнес Премиум рекомендуется регистрировать корпоративные устройства в Microsoft Intune, как описано в следующих подразделах.

Шаг 1. Настройка ограничений регистрации устройств для Intune

Может потребоваться запретить пользователям регистрировать определенные типы соответствующих устройств в Intune. Например, вы планируете использовать MAM для личных телефонов iOS и Android, чтобы запретить пользователям регистрировать эти устройства в Intune.

Инструкции см. в статье Создание ограничений платформы устройств.

Шаг 2. Настройка предварительных требований для регистрации устройств для Intune

Для типов устройств, которые вы планируете зарегистрировать в MDM, необходимо выполнить некоторые предварительные требования:

Шаг 3. Настройка параметров политики соответствия требованиям в Intune

Параметры политики соответствия относятся к всей организации и определяют, как Intune обрабатывает устройства без назначенных политик соответствия устройств (также известных как политики соответствия). Возможные значения:

  • Пометка устройств без политики соответствия требованиям, назначенной как>Соответствует требованиям. Устройства считаются совместимыми до тех пор, пока не будут проверены как несоответствующие после назначения политики соответствия устройств. Это значение является значением по умолчанию.
  • Пометка устройств без политики соответствия требованиям, назначенной как>Не соответствует требованиям. Устройства считаются несовместимыми до тех пор, пока не будут проверены как соответствующие после назначения политики соответствия устройств.

Как правило, рекомендуется значение по умолчанию Соответствует. Но если вы используете политики условного доступа на основе устройств, как описано в следующем разделе, и хотите убедиться, что доступ к ресурсам компании разрешен только соответствующим устройствам, используйте значение Пометить устройства без политики соответствия требованиям, назначенное как>Несоответствующее.

Дополнительные сведения см. в разделе Параметры политики соответствия.

Шаг 4. Создание политик соответствия устройств в Intune

Мы рекомендуем создать политику соответствия устройств (также известную как политика соответствия требованиям) для каждого типа устройства, которое вы планируете зарегистрировать в MDM. Политика соответствия для каждого типа устройства определяет минимальную конфигурацию, которая разрешает доступ к корпоративным данным. Политики не применяются до тех пор, пока к устройству не будет применена соответствующая политика условного доступа на основе устройства.

Ниже приведены наши рекомендации.

  • Устройства Windows:

    • Параметры соответствия:
      • Работоспособность устройства. Задайте для следующих параметров значение Требовать:
        • BitLocker
        • Безопасная загрузка
        • Целостность кода
      • Безопасность системы:
        • Безопасность устройства. Задайте для следующих параметров значение Требовать:
          • Брандмауэр
          • Доверенный платформенный модуль (TPM)
          • Защита от вирусов
          • антишпионское ПО;
        • Defender: задайте для следующих параметров значение Требовать:
          • Антивредоносная программа в Microsoft Defender
          • актуальность механизма обнаружения угроз антивредоносного ПО в Microsoft Defender
          • Защита в режиме реального времени
    • Действия по несоответствию:
      • Пометить устройство несоответствующее. Измените значение расписания (дней после несоответствия) с Немедленно на 1.
    • Назначения. Для включенных групп выберите Добавить всех пользователей.
  • Другие типы устройств: выберите следующие параметры, если они доступны:

    • Требовать пароль для разблокировки устройства.
    • Требовать шифрование устройства.
    • Требовать целостность кода.

Дополнительные сведения см. в статье Создание политики соответствия требованиям в Microsoft Intune.

Шаг 5. Создание политик условного доступа на основе устройств

Для Intune рекомендуется использовать следующие политики условного доступа на основе устройств:

Шаг 6. Регистрация устройств в Intune

После выполнения предыдущих шагов по подготовке и настройке Intune пользователи смогут регистрировать свои устройства. Инструкции см. в следующих статьях:

Дополнительные варианты mdm

  • Просмотр и мониторинг работоспособности устройств на портале Defender. В Defender для бизнеса или Intune в business Premium можно просмотреть сведения об устройстве, например состояние работоспособности и уровень уязвимости для всех подключенных устройств. Вы также можете выполнять действия на устройствах, такие как запуск антивирусной проверки или запуск автоматического исследования. Дополнительные сведения см. в разделах Управление устройствами в Microsoft Defender для бизнеса и Проверка обнаруженных угроз.

На управляемых устройствах пользователи могут выполнить следующие действия для защиты своих устройств:

  • Установка режима активности на устройствах Windows: антивирусная программа, защита от вредоносных программ и другие возможности защиты от угроз автоматически устанавливаются, настраиваются и регулярно обновляются на подключенных устройствах. Обновления, для которых требуется перезапуск устройства, можно выполнить после рабочего времени, как определено параметром активных часов на устройствах Windows. Дополнительные сведения см. в статье Поддержание компьютера в актуальном состоянии.

Управление мобильными приложениями в Intune для защиты данных

В business Premium доступно управление мобильными приложениями (MAM) для защиты доступа к корпоративным данным на личных устройствах без полного управления устройствами MDM. В следующих подразделах описаны требования к настройке MAM.

Шаг 1. Настройка ограничений регистрации устройств для MAM

Личные устройства, которые вы планируете защитить с помощью MAM, не могут быть зарегистрированы в Intune (MDM). Сведения о том, как запретить регистрацию определенных типов устройств в MDM, см. в статье Создание ограничений платформы устройств.

Шаг 2. Развертывание политик защиты приложений в MAM

политики защита приложений (APP) позволяют использовать MAM на устройствах iOS/iPadOS и Android без необходимости регистрации устройств в Intune (MDM). Например, вы можете:

  • Требовать ПИН-код для открытия Microsoft Outlook на устройстве.
  • Запретите сохранение данных организации локально на устройстве.

Дополнительные сведения см. в статье Создание и назначение политик защиты приложений.

Наши основные рекомендации включают в себя:

  • Создание политик для устройств iOS/iPadOS и Android .
  • Целевая политика: выберите Core Microsoft Apps (включая Outlook).
  • Резервное копирование данных организации в резервные копии iTunes и iCloud: выберите Блокировать.
  • Отправка данных организации в другие приложения. Выберите Приложения, управляемые политикой.
    • Сохранение копий данных организации: выберите Блокировать.
    • Разрешить пользователю сохранять копии в выбранных службах. Выберите OneDrive и SharePoint.

Наши рекомендации по отдельным уровням безопасности описаны в статье Платформа защиты данных с помощью политик защиты приложений.

Дополнительные варианты для MAM

Многофакторная проверка подлинности (MFA) и поддерживаемое приложение для проверки подлинности, например приложение Microsoft Authenticator , требуются по умолчанию для всех учетных записей business Premium. Дополнительные сведения см. в статье Многофакторная проверка подлинности для Microsoft 365.

В противном случае владелец устройства отвечает за защиту и обслуживание собственного устройства в сценариях MAM. Они могут выполнить следующие действия:

  • Включите шифрование и защиту брандмауэра. Шифрование диска защищает данные при потере или краже устройства. Защита брандмауэра помогает защитить устройства от нежелательных контактов с другими компьютерами в Интернете или других сетях. Дополнительные сведения см. в разделе Защита неуправляемых устройств.

  • Убедитесь, что антивирусная или антивредоносная программа установлена и обновлена. Дополнительные сведения см. в статье Защита с помощью Безопасность Windows.

  • Следите за обновлениями операционной системы и приложений. Дополнительные сведения см. в статье Обновление компьютера.

Дальнейшие действия