Этап 5. Развертывание профилей устройств в Microsoft Intune
Microsoft Intune включает параметры и функции, которые можно включить или отключить на разных устройствах в пределах организации. Эти параметры и функции добавляются в "профили конфигурации". Вы можете создавать профили для различных устройств и разных платформ, включая iOS/iPadOS, администратор устройств Android, Android Enterprise и Windows. Затем используйте Intune, чтобы применить, или "назначить", профиль для устройств.
В этой статье содержится руководство по основным принципам работы с профилями конфигурации.
Профили конфигурации дают возможность настроить необходимую защиту от угроз и привести устройства в соответствие требованиям, чтобы они могли получать доступ к ресурсам. Ранее такие изменения конфигурации настраивались с помощью параметров групповой политики в доменных службах Active Directory. Современная стратегия безопасности включает перемещение элементов управления безопасностью в облако, где их применение не зависит от локальных ресурсов и доступа. И оптимальным способом перенесения элементов управления безопасностью в облако являются профили конфигурации Intune.
Чтобы получить представление о том, какие профили конфигурации можно создать, см. Применить возможности и настройки на ваших устройствах с помощью профилей устройств в Microsoft Intune.
Развертывание базовых конфигураций безопасности Windows для Intune
В качестве отправной точки, если вы хотите согласовать конфигурации устройств с базовыми показателями безопасности Майкрософт, мы рекомендуем использовать базовые показатели безопасности в Microsoft Intune. Преимущество этого подхода в том, что вы можете положиться на корпорацию Майкрософт, которая будет обновлять базовые конфигурации по мере выхода новых функций Windows 10 и Windows 11.
Развертывание базовых конфигураций безопасности Windows для Intune, доступных для Windows 10 и Windows 11. Информацию о доступных базовых настройках см. в разделе Использование базовых конфигураций безопасности для настройки устройств с Windows в Intune.
Для начала просто разверните наиболее подходящую конфигурацию безопасности MDM. См. статью Управление профилями базовых показателей безопасности в Microsoft Intune, чтобы создать профиль и выбрать версию базового плана.
Настроив Microsoft Defender для конечной точки, а также настроив и подключив Intune, затем разверните базовые профили Defender для конечной точки. Эта тема рассматривается в следующей статье серии: Этап 6. Отслеживание рисков устройств и соответствия базовым показателям безопасности.
Важно понимать, что эти базовые показатели безопасности не соответствуют CIS или NIST, но зеркало их рекомендациям. Дополнительные сведения см. в разделе: Соответствуют ли базовые конфигурации безопасности Intune требованиям CIS или NIST?
Настройка профилей конфигурации для организации
Помимо развертывания предварительно настроенных готовых базовых конфигураций, многие организации корпоративного масштаба внедряют профили конфигурации, позволяющие управлять большим количеством конкретных параметров. Эта конфигурация помогает снизить зависимость от объектов групповой политики в локальной среде Active Directory и переместить элементы управления безопасностью в облако.
Многочисленные параметры, которые можно настраивать с помощью профилей конфигурации, можно сгруппировать в четыре категории, как показано ниже.
В следующей таблице описывается пример.
Категория | Описание | Примеры |
---|---|---|
Функции устройства | Управляет возможностями в устройстве. Эта категория распространяется только на устройства iOS/iPadOS и macOS. | Функции Airprint, уведомления, сообщения о блокировке экрана |
Ограничения для устройств | Управляет безопасностью, оборудованием, обменом данными и другими настройками устройств | Требуется ПИН-код, шифрование данных |
Конфигурация доступа | Настраивает устройство для доступа к ресурсам организации | Профили электронной почты, профили VPN, настройки Wi-Fi, сертификаты |
Пользовательские | Выбор настраиваемой конфигурации или выполнение действий настраиваемой конфигурации | Установка исходных параметров изготовителя оборудования, выполнение скриптов PowerShell |
При настройке профилей конфигурации для организации используйте следующие принципы:
- Упростите стратегию управления безопасностью, ограничив общее количество политик.
- Сгруппируйте параметры в указанные выше категории или такие категории, которые подходят вашей организации.
- При перемещении элементов управления безопасностью из объектов групповая политика (GPO) в Intune профили конфигурации следует учитывать, являются ли параметры, настроенные каждым объектом групповой политики, по-прежнему актуальными и необходимыми для участия в общей стратегии облачной безопасности. Условный доступ и множество политик, которые можно настроить в облачных службах, включая Intune, обеспечивают более сложную защиту, чем можно было бы настроить в локальной среде, где изначально разрабатывались пользовательские объекты групповой политики.
- Используйте аналитику групповая политика для сравнения и сопоставления текущих параметров объекта групповой политики с возможностями в Microsoft Intune. См. статью Анализ локальных объектов групповой политики с помощью аналитики групповая политика в Microsoft Intune.
- При использовании настраиваемых пользовательских профилей конфигурации обязательно изучите рекомендации в разделе Создать профиль с настраиваемыми параметрами в Intune.
Дополнительные ресурсы
Если вы не знаете, с чего начать при работе с профилями устройств, вам помогут следующие разделы:
Если в вашей среде есть локальные GPO, осуществить переход в облако помогут следующие возможности:
Следующее действие
Перейдите к Этапу 6. Отслеживание рисков устройств и соответствия базовым показателям безопасности.