Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Intune включает параметры и функции, которые можно включить или отключить на разных устройствах в пределах организации. Эти параметры и функции добавляются в "профили конфигурации". Вы можете создавать профили для различных устройств и платформ, включая iOS/iPadOS, администратор устройств Android, Android Enterprise и Windows. Затем используйте Intune, чтобы применить, или "назначить", профиль для устройств.
В этой статье содержится руководство по основным принципам работы с профилями конфигурации.
Профили конфигурации дают возможность настроить необходимую защиту от угроз и привести устройства в соответствие требованиям, чтобы они могли получать доступ к ресурсам. Ранее такие изменения конфигурации настраивались с помощью параметров групповой политики в доменных службах Active Directory. Современная стратегия безопасности включает перемещение элементов управления безопасностью в облако, где их применение не зависит от локальных ресурсов и доступа. И оптимальным способом перенесения элементов управления безопасностью в облако являются профили конфигурации Intune.
Чтобы получить представление о том, какие профили конфигурации можно создать, см. Применить возможности и настройки на ваших устройствах с помощью профилей устройств в Microsoft Intune.
Развертывание базовых конфигураций безопасности Windows для Intune
В качестве отправной точки, если вы хотите согласовать конфигурации устройств с базовыми показателями безопасности Майкрософт, мы рекомендуем использовать базовые показатели безопасности в Microsoft Intune. Преимущество этого подхода заключается в том, что вы можете полагаться на корпорацию Майкрософт для поддержания базовых показателей в актуальном состоянии по мере выпуска компонентов Windows.
Развертывание базовых конфигураций безопасности Windows для Intune, доступных для Windows 10 и Windows 11. Информацию о доступных базовых настройках см. в разделе Использование базовых конфигураций безопасности для настройки устройств с Windows в Intune.
Для начала просто разверните наиболее подходящую конфигурацию безопасности MDM. См. статью Управление профилями базовых показателей безопасности в Microsoft Intune, чтобы создать профиль и выбрать версию базового плана.
Позже, когда Microsoft Defender для конечной точки будет настроен и подключен к Intune, разверните базовые показатели Defender для конечной точки. Эта тема рассматривается в следующей статье этой серии: Шаг 6. Отслеживайте риски устройств и соответствие базовым показателям безопасности.
Важно понимать, что эти базовые показатели безопасности не соответствуют CIS или NIST, но зеркало их рекомендациям. Дополнительные сведения см. в статье Соответствие базовых показателей безопасности Intune CIS или NIST?
Настройка профилей конфигурации для организации
Помимо развертывания предварительно настроенных готовых базовых конфигураций, многие организации корпоративного масштаба внедряют профили конфигурации, позволяющие управлять большим количеством конкретных параметров. Эта конфигурация помогает уменьшить зависимость от объектов групповая политика (GPO) в локальная служба Active Directory среде и переместить элементы управления безопасностью в облако.
Многие параметры, которые можно настроить с помощью профилей конфигурации, можно сгруппировать по четырем категориям, как показано на следующем рисунке.
В следующей таблице описывается пример.
| Категория | Описание | Примеры |
|---|---|---|
| Функции устройства | Управляет возможностями в устройстве. Эта категория распространяется только на устройства iOS/iPadOS и macOS. | Функции Airprint, уведомления, сообщения о блокировке экрана |
| Ограничения для устройств | Управляет безопасностью, оборудованием, обменом данными и другими настройками устройств | Требуется ПИН-код, шифрование данных |
| Конфигурация доступа | Настраивает устройство для доступа к ресурсам организации | Профили электронной почты, профили VPN, настройки Wi-Fi, сертификаты |
| Пользовательские | Выбор настраиваемой конфигурации или выполнение действий настраиваемой конфигурации | Установка исходных параметров изготовителя оборудования, выполнение скриптов PowerShell |
При настройке профилей конфигурации для организации используйте следующие принципы:
- Упростите стратегию управления безопасностью, ограничив общее количество политик.
- Группируйте параметры в категории, перечисленные в предыдущей таблице, или используйте категории, которые нужны вашей организации.
- При перемещении элементов управления безопасностью из объектов групповой политики в Intune профили конфигурации следует учитывать, являются ли параметры, настроенные каждым объектом групповой политики, по-прежнему актуальными и необходимыми для участия в общей стратегии облачной безопасности. Условный доступ и множество политик, которые можно настроить в облачных службах, включая Intune, обеспечивают более сложную защиту, чем можно было бы настроить в локальной среде, где изначально разрабатывались пользовательские объекты групповой политики.
- Используйте аналитику групповая политика для сравнения и сопоставления текущих параметров объекта групповой политики с возможностями в Microsoft Intune. См. статью Анализ локальных объектов групповой политики с помощью аналитики групповая политика в Microsoft Intune.
- При использовании настраиваемых профилей конфигурации обязательно используйте инструкции, приведенные в статье Создание профиля с настраиваемыми параметрами в Intune.
Дополнительные ресурсы
Если вы не знаете, с чего начать с профилей устройств, помогут следующие ресурсы:
Если в вашей среде есть локальные объекты групповой политики, то для перехода в облако можно использовать следующие функции:
Следующее действие
Перейдите к Этапу 6. Отслеживание рисков устройств и соответствия базовым показателям безопасности.