Управление устройствами с помощью Intune: общие сведения

Основным компонентом обеспечения безопасности на уровне предприятия является управление устройствами и их защита. Независимо от того, создаете ли вы архитектуру безопасности "Никому не доверяй", защищаете среду от программ-шантажистов или создаете защиту для поддержки удаленных работников, управление устройствами является частью стратегии. Хотя Microsoft 365 включает в себя несколько инструментов и методологий для управления устройствами и их защиты, в этом руководстве рассматриваются рекомендации Майкрософт с помощью Microsoft Intune. Вам пригодится это руководство, если вы планируете выполнить указанные ниже действия.

  • Запланируйте регистрацию устройств в Intune через присоединение Microsoft Entra (включая гибридное присоединение Microsoft Entra).
  • Планируйте вручную зарегистрировать устройства в Intune.
  • Разрешите переносить собственные устройства (BYOD) с планами реализации защиты приложений и данных и (или) зарегистрировать эти устройства в Intune.

С другой стороны, если среда включает планы совместного управления, включая Microsoft Configuration Manager, ознакомьтесь с документацией по co-management для разработки оптимального пути для вашей организации. Если среда включает планы Windows 365 Cloud PC, ознакомьтесь с документацией Windows 365 Корпоративная для разработки оптимального пути для вашей организации.

Обзор процесса развертывания показан в приведенном ниже видео.

Зачем управлять конечными точками?

Современное предприятие имеет невероятное разнообразие конечных точек, обращаюющихся к данным. Эта настройка создает массивную область атаки, и в результате конечные точки могут легко стать самым слабым звеном в вашей стратегии безопасности "Никому не доверяй".

В основном из-за необходимости, когда мир перешел на удаленную или гибридную рабочую модель, пользователи работают из любого места, с любого устройства, больше, чем когда-либо в истории. Злоумышленники быстро приспосабливают свою тактику к новым изменениям, чтобы воспользоваться возможностями, которые они открывают. При решении новых бизнес-задач многие организации сталкиваются с проблемой нехватки ресурсов. Практически в одночасье организации ускорили переход на цифровые технологии. Проще говоря, то, как люди работают, изменилось. Мы больше не ожидаем получать доступ к бесчисленным корпоративным ресурсам только из офиса и на корпоративных устройствах.

Получение видимости конечных точек, обращающихся к корпоративным ресурсам, является первым шагом в стратегии "Никому не доверяй" для устройств. Как правило, компании активно защищают компьютеры от уязвимостей и атак, в то время как мобильные устройства часто не используют защиту. Чтобы убедиться, что данные организации не подвержены риску, необходимо проверять каждую конечную точку на наличие рисков и использовать средства управления многоуровневым доступом, чтобы настроить соответствующий уровень доступа на основе политики организации. Например, если личное устройство взломано, его доступ можно заблокировать, чтобы корпоративные приложения не подвергались воздействию известных уязвимостей.

В этой серии статей описываются рекомендации по управлению устройствами, через которые пользователи получают доступ к ресурсам организации. Если выполнить рекомендуемые действия, ваша организация обеспечит современную защиту своих ресурсов и устройств, через которые пользователи получают доступ.

Внедрение слоев защиты на и для устройств

Защита данных и приложений на устройствах и самих устройств — это многоуровневый процесс. На неуправляемых устройствах пользователи могут получить несколько средств обеспечения защиты. Чтобы реализовать более сложные средства контроля, необходимо зарегистрировать устройства для управления. Если защита от угроз развернута на конечных точках, организация получит больше аналитических данных и возможность автоматически реагировать на некоторые атаки. Наконец, если ваша организация включила работу по выявлению конфиденциальных данных, применению классификации и меток и настройке политик Защита от потери данных Microsoft Purview, вы можете получить еще более подробную защиту данных на конечных точках.

На следующей схеме показаны строительные блоки для обеспечения безопасности модели "Никому не доверяй" для Microsoft 365 и других приложений SaaS, которые вы вводите в эту среду. Элементы, относящиеся к устройствам, пронумерованы с 1 по 7. Администраторы устройств будут координировать работу с другими администраторами для выполнения этих уровней защиты.

Диаграмма основных компонентов модели безопасности

На этой иллюстрации:

  Этап Описание Требования к лицензированию
1 Настройка начальной конфигурации политик доступа "Никому не доверяй" для идентификации и устройств Шаг 1. Реализуйте политики защиты приложений, чтобы заложить основу для защиты устройств с помощью Intune политик защиты приложений, которые не требуют управления устройствами. Затем сотрудничайте с администратором группы удостоверений, чтобы реализовать политики условного доступа, требующие утвержденных приложений, и установить уровень 2 корпоративной усиленной защиты данных, который является рекомендуемой начальной степенью для устройств, где пользователи получают доступ к конфиденциальной информации. E3, E5, F1, F3 или F5
2 Регистрация устройств в Intune Для планирования и реализации этой задачи требуется больше времени. Майкрософт рекомендует использовать Intune для регистрации устройств, так как это средство обеспечивает оптимальную интеграцию. Есть несколько вариантов регистрации устройств в зависимости от платформы. Например, устройства Windows можно зарегистрировать с помощью Microsoft Entra join или Autopilot. Просмотрите варианты для каждой платформы и решите, какой вариант регистрации лучше всего подходит для вашей среды. См. шаг 2. Регистрация устройств в Intune для получения дополнительных сведений. E3, E5, F1, F3 или F5
3 Настройка политик соответствия требованиям Вы хотите убедиться, что устройства, обращаюющиеся к вашим приложениям и данным, соответствуют минимальным требованиям. Например, устройства защищены паролем или ПИН-кодом, а операционная система обновлена. Политики соответствия требованиям — это способ определения требований, которым должны соответствовать устройства. Этап 3. Настройка политик соответствия требованиям позволяет настроить эти политики. E3, E5, F3 или F5
4 Настройка корпоративных (рекомендуемых) политик доступа к удостоверениям и устройствам "Никому не доверяй" Теперь, когда устройства зарегистрированы, работайте с администратором удостоверений, чтобы настроить политики условного доступа для обязательного использования надёжных и соответствующих требованиям устройств. E3, E5, F3 или F5
5 Развертывание профилей конфигурации В отличие от политик соответствия требованиям, которые просто помечают устройство как соответствующее или не соответствующее требованиям на основе заданных критериев, профили конфигурации изменяют параметры на устройстве. Политики конфигурации можно использовать для защиты устройств от киберугроз. См. Этап 5. Развертывание профилей конфигурации. E3, E5, F3 или F5
6 Проверка устройств на наличие рисков и соответствие базовым показателям безопасности На этом шаге вы подключите Intune к Microsoft Defender для конечной точки. Эта интеграция позволяет отслеживать уровень риска устройств как условие для предоставления доступа. Устройства, которые находятся в опасном состоянии, блокируются. Также можно отслеживать соответствие базовым показателям безопасности. См. Этап 6. Проверка устройств на наличие рисков и соответствие базовым показателям безопасности. E5 или F5
7 Реализация защиты от потери данных (DLP) с возможностями защиты информации Если ваша организация провела работу по идентификации конфиденциальных данных и маркировке документов, попросите администратора обеспечить защиту конфиденциальной информации и документов на устройствах. E5 и F5 дополнение для соответствия требованиям

Координация управления конечными точками с помощью политик доступа к удостоверениям и устройствам "Никому не доверяй"

Это руководство тесно координируется с рекомендуемыми политиками "Никому не доверяй" для удостоверений и доступа к устройствам. Вы будете работать с вашей командой по управлению идентификацией, чтобы перенести средства защиты, которые вы настраиваете в Intune, в политики условного доступа в Microsoft Entra ID.

Ниже приведена иллюстрация рекомендуемого набора политик с пошаговыми указаниями для работы, которую вы будете выполнять в Intune, и связанных политик условного доступа, которые помогут вам координировать работу в Microsoft Entra ID.

Политики

На этой иллюстрации:

  • На шаге 1 политики защиты приложений уровня 2 настраиваются в качестве рекомендуемого уровня защиты данных с помощью политик защиты приложений Intune. Затем вы работаете с командой по управлению идентификацией, чтобы настроить связанное правило условного доступа, чтобы обеспечить использование этой защиты.
  • На этапах 2, 3 и 4 необходимо зарегистрировать устройства для управления с помощью Intune, определить политики соответствия требованиям, а затем совместно с командой управления удостоверениями настроить соответствующее правило условного доступа, чтобы разрешать доступ только устройствам, которые соответствуют требованиям.

Регистрация и подключение устройств

Если вы будете следовать этому руководству, то зарегистрируете устройства для управления с помощью Intune, а затем подготовите устройства для следующих возможностей Microsoft 365:

  • Microsoft Defender для конечной точки
  • Microsoft Purview (для защиты от потери данных конечной точки (DLP))

Далее описан принцип работы при использовании Intune.

Процесс регистрации и подключения устройств.

На рисунке:

  1. Регистрация устройств в системе управления с использованием Intune.
  2. Используйте Intune для подключения устройств к Defender для конечной точки.
  3. Устройства, интегрированные в Defender для конечной точки, также интегрированы для функций Microsoft Purview, включая защиту от утечки данных на конечной точке.

Обратите внимание, что управляет устройствами только Intune. Под подключением подразумевается возможность устройства обмениваться информацией с определенной службой. В следующей таблице приведена сводка различий между регистрацией устройств для управления и подключением устройств к определенной службе.

  Регистрация Подключение
Описание Регистрация применяется к управлению устройствами. Устройства регистрируются для управления с помощью Intune или Configuration Manager. Подключение настраивает устройство для работы с определенным набором возможностей в Microsoft 365. В настоящее время внедрение применяется к функциям Microsoft Defender для конечной точки и функциям соответствия Майкрософт.

На устройствах Windows подключение включает переключение параметра в Microsoft Defender, позволяющее Defender подключаться к веб-службе и принимать политики, применяемые к устройству.
Область действия Эти средства управления устройствами управляют всем устройством, включая настройку устройства для достижения определенных целей, например, по безопасности. Подключение влияет только на применимые службы.
Рекомендуемый способ Microsoft Entra автоматически подключает устройства и регистрирует их в Intune. Intune — это предпочтительный метод подключения устройств к Windows Defender для конечных точек и, следовательно, к функциям Microsoft Purview.

Устройства, подключенные к возможностям Microsoft Purview с помощью других методов, не регистрируются автоматически для Defender для конечной точки.
Другие методы Другие методы регистрации зависят от платформы устройства и от того, является ли оно BYOD или управляется вашей организацией. Другие методы подключения устройств, включают, в рекомендуемом порядке:
  • Диспетчер конфигураций
  • Другое средство управления мобильными устройствами (если устройство управляется таким средством)
  • Локальный сценарий
  • Пакет конфигурации VDI для включения в эксплуатацию непостоянных устройств инфраструктуры виртуальных рабочих столов (VDI)
  • Групповая политика
  • Обучающие ресурсы для администраторов

    Следующие ресурсы помогают администраторам ознакомиться с основными понятиями об использовании Intune:

    • Упрощение управления устройствами с помощью учебного модуля Microsoft Intune

      Узнайте, как решения для управления бизнесом с помощью Microsoft 365 предоставляют пользователям безопасный персонализированный рабочий стол и помогают организациям легко управлять обновлениями для всех устройств с упрощенным интерфейсом администратора.

    • Evaluate Microsoft Intune

      Microsoft Intune помогает защитить устройства, приложения и данные, которые люди в вашей организации используют для продуктивной работы. В этой статье рассказывается, как настроить Microsoft Intune. Настройка включает проверку поддерживаемых конфигураций, регистрацию в Intune, добавление пользователей и групп, назначение лицензий пользователям, предоставление разрешений администратора и установку управления мобильными устройствами (MDM).

    Следующий шаг

    Перейдите к шагу 1. Реализуйте политики защиты приложений.