Adatok és eszközök védelme a Microsoft Intune-nal

Microsoft Intune segíthet a felügyelt eszközök biztonságának és naprakészen tartásában, miközben segít megvédeni a szervezet adatait a feltört eszközökkel szemben. Az adatvédelem magában foglalja annak szabályozását, hogy a felhasználók milyen műveleteket végeznek a szervezet adataival a felügyelt és a nem felügyelt eszközökön. Az adatvédelem kiterjed az esetlegesen sérült eszközökről származó adatokhoz való hozzáférés blokkolására is.

Ez a cikk Intune számos beépített funkcióját és partnertechnológiáját emeli ki, amelyek integrálhatók a Intune. Ha többet szeretne megtudni róluk, többen is összehozhatók a megbízható környezet felé vezető út átfogóbb megoldásai érdekében.

A Microsoft Intune Felügyeleti központban a Intune támogatja az Android, iOS/iPad, Linux, macOS és Windows rendszerű felügyelt eszközöket.

Ha Configuration Manager használ a helyszíni eszközök kezelésére, a bérlői csatolás vagy a társfelügyelet konfigurálásával kiterjesztheti Intune szabályzatokat ezekre az eszközökre.

Intune olyan külső termékekkel felügyelt eszközökről származó információkkal is dolgozhat, amelyek eszközmegfelelést és mobil veszélyforrások elleni védelmet biztosítanak.

Eszközök védelme szabályzatokkal

Helyezze üzembe Intune végpontbiztonsági, eszközkonfigurációs és eszközmegfelelési szabályzatait, hogy az eszközöket a szervezet biztonsági céljainak megfelelően konfigurálja. A szabályzatok egy vagy több profilt támogatnak, amelyek a regisztrált eszközök csoportjaira telepített platformspecifikus szabályok különálló készletei.

• A végpontbiztonsági szabályzatokkal olyan, a biztonságra összpontosító szabályzatokat helyezhet üzembe, amelyek célja, hogy az eszközök biztonságára összpontosítson, és mérsékelje a kockázatokat. Az elérhető feladatok segítségével azonosíthatja a veszélyeztetett eszközöket, szervizelheti ezeket az eszközöket, és visszaállíthatja őket megfelelő vagy biztonságosabb állapotba.

• Az eszközkonfigurációs szabályzatokkal kezelheti azokat a profilokat, amelyek meghatározzák az eszközök által a szervezetben használt beállításokat és szolgáltatásokat. Eszközök konfigurálása végpontvédelemhez, tanúsítványok kiépítése hitelesítéshez, szoftverfrissítési viselkedés beállítása stb.

• Az eszközmegfelelési szabályzatokkal különböző eszközplatformokhoz hozhat létre profilokat, amelyek eszközkövetelményeket állapítanak meg. A követelmények közé tartozhatnak az operációs rendszer verziói, a lemeztitkosítás használata, illetve a fenyegetéskezelési szoftver által meghatározott meghatározott fenyegetettségi szinteken vagy alatt.

  Intune megvédheti azokat az eszközöket, amelyek nem felelnek meg a szabályzatoknak, és figyelmeztetheti az eszköz felhasználóját, hogy azok megfelelővé tudják alakítani az eszközt.

  Amikor feltételes hozzáférést ad a mixhez, olyan szabályzatokat konfiguráljon, amelyek csak a megfelelő eszközök számára engedélyezik a hálózati és szervezeti erőforrások elérését. A hozzáférési korlátozások közé tartozhatnak a fájlmegosztások és a vállalati e-mailek. A feltételes hozzáférési szabályzatok a Intune integrált külső eszközmegfelelési partnerek által jelentett eszközállapot-adatokkal is működnek.

Íme néhány biztonsági beállítás és feladat, amelyeket az elérhető szabályzatokkal kezelhet:

• Hitelesítési módszerek – Konfigurálhatja, hogy az eszközök hogyan hitelesítsék magukat a szervezet erőforrásaihoz, e-mailjeihez és alkalmazásaihoz.

  • Használjon tanúsítványokat az alkalmazások, a szervezet erőforrásainak hitelesítéséhez, valamint az e-mailek S/MIME használatával történő aláírásához és titkosításához. Származtatott hitelesítő adatokat is beállíthat, ha a környezet intelligens kártyák használatát igényli.

  • Konfigurálja a kockázatokat korlátozó beállításokat, például:

    • A többtényezős hitelesítés (MFA) megkövetelése egy további hitelesítési réteg hozzáadásához a felhasználók számára.
    • Az erőforrásokhoz való hozzáférés előtt meg kell felelnie a PIN-kódra és a jelszóra vonatkozó követelményeknek.
    • Engedélyezze a Vállalati Windows Hello Windows-eszközökhöz.

• Eszköztitkosítás – A BitLocker kezelése Windows-eszközökön és FileVault macOS rendszeren.

• Szoftverfrissítések – Kezelheti, hogy az eszközök hogyan és mikor kapják meg a szoftverfrissítéseket. A következők támogatottak:

  • Android belső vezérlőprogram frissítései:
    • Firmware Over-the-Air (FOTA) – Egyes oem-ek támogatják, a FOTA használatával távolról frissítheti az eszközök belső vezérlőprogramját.
    • Zebra LifeGuard Over-the-Air (LG OTA) – A támogatott Zebra-eszközök belső vezérlőprogram-frissítéseinek kezelése a Intune felügyeleti központban.
  • iOS – Az eszköz operációs rendszerének verzióinak kezelése, valamint amikor az eszközök frissítéseket keresnek és telepítenek.
  • macOS – Felügyelt eszközként regisztrált macOS-eszközök szoftverfrissítéseinek kezelése.
  • Windows – Az eszközök Windows Update felületének kezeléséhez konfigurálhatja, hogy az eszközök mikor olvassanak be vagy telepítsenek frissítéseket, tartsa lenyomva a felügyelt eszközök egy csoportját bizonyos funkcióverziókban, és így tovább.

• Biztonsági alapkonfigurációk – Biztonsági alapkonfigurációk üzembe helyezése a Windows-eszközök alapvető biztonsági helyzetének kialakításához. A biztonsági alapkonfigurációk előre konfigurált Windows-beállítások csoportjai, amelyeket a megfelelő termékcsapatok javasolnak. Az alapkonfigurációkat a megadottak szerint használhatja, vagy szerkesztheti a példányokat, hogy megfeleljenek a célzott eszközcsoportok biztonsági céljainak.

• Virtuális magánhálózatok (VPN-ek) – VPN-profilokkal rendeljen VPN-beállításokat az eszközökhöz, hogy könnyen csatlakozzanak a szervezet hálózatához. Intune számos VPN-kapcsolattípust és alkalmazást támogat, amelyek beépített képességeket tartalmaznak egyes platformokhoz, valamint a belső és külső VPN-alkalmazásokat az eszközökhöz.

• Windows helyi rendszergazdai jelszómegoldás (LAPS) – A Windows LAPS-házirenddel a következőket teheti:

  • A helyi rendszergazdai fiókok jelszókövetelményeinek kényszerítése
  • Helyi rendszergazdai fiók biztonsági mentése az eszközökről az Active Directoryba (AD) vagy Microsoft Entra
  • A fiókjelszavak rotálásának ütemezése a biztonság érdekében.

Adatok védelme szabályzatokkal

Intune által felügyelt alkalmazások és Intune alkalmazásvédelmi szabályzatai segíthetnek az adatszivárgások leállításában és a szervezet adatainak biztonságában. Ezek a védelem a Intune regisztrált eszközökre és a nem regisztrált eszközökre is alkalmazhatók.

• Intune által felügyelt alkalmazások (vagy röviden felügyelt alkalmazások) az Intune App SDK-t integráló vagy a Intune App Wrapping Tool burkolt alkalmazások. Ezek az alkalmazások Intune alkalmazásvédelmi szabályzatokkal kezelhetők. A nyilvánosan elérhető felügyelt alkalmazások listájának megtekintéséhez lásd: Intune védett alkalmazások.

  A felhasználók felügyelt alkalmazásokkal dolgozhatnak a szervezet adataival és a saját személyes adataikkal is. Ha azonban az alkalmazásvédelmi szabályzatok egy felügyelt alkalmazás használatát igénylik, a felügyelt alkalmazás az egyetlen olyan alkalmazás, amely a szervezet adatainak eléréséhez használható. Alkalmazásvédelem szabályok nem vonatkoznak a felhasználó személyes adataira.

• Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságosak vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályok azonosítják a használni kívánt felügyelt alkalmazást, és meghatározzák, hogy mit lehet tenni az adatokkal, amíg az alkalmazás használatban van.

Az alábbi példák alkalmazásvédelmi szabályzatokkal és felügyelt alkalmazásokkal beállítható védelmi és korlátozási lehetőségeket mutatnak be:

• Alkalmazásréteg-védelmet konfigurálhat, például PIN-kódot kell megkövetelnie egy alkalmazás munkahelyi környezetben való megnyitásához.
• Szabályozhatja a szervezeti adatok megosztását az eszközön lévő alkalmazások között, például letilthatja a másolást és beillesztést, vagy képernyőfelvételeket készíthet.
• A szervezet adatainak személyes tárolóhelyekre történő mentésének megakadályozása.

Eszközök és adatok védelme eszközműveletekkel

A Microsoft Intune Felügyeleti központban olyan eszközműveleteket futtathat, amelyek segítenek a kiválasztott eszközök védelmében. Ezeknek a műveleteknek egy részhalmazát tömeges eszközműveletként futtathatja, hogy egyszerre több eszközt is érintsen. A Intune számos távoli művelete is használható közösen felügyelt eszközökkel.

Az eszközműveletek nem szabályzatok, és meghívásukkor egyetlen alkalommal lépnek érvénybe. Azonnal alkalmazhatók, ha az eszköz elérhető az interneten, vagy ha az eszköz következő indításakor vagy Intune jelentkezik be. Ezeket a műveleteket kiegészítőnek tekinti az eszközök sokasága számára biztonsági konfigurációkat konfiguráló és karbantartó szabályzatok használatát.

Az alábbiakban példákat talál az eszközök és adatok védelmét segítő futtatható műveletekre:

A Intune által felügyelt eszközök:

• BitLocker billentyűrotálás (csak Windows esetén)
• Aktiválási zár letiltása (csak Apple-eszközök esetén, tekintse meg, hogyan kapcsolhatja ki az aktiválási zárat az Apple Business Managerrel)
• Teljes vagy gyorsvizsgálat (csak Windows esetén)
• Távoli zárolás
• Kivonás (amely eltávolítja a szervezet adatait az eszközről, miközben a személyes adatokat érintetlenül hagyja)
• Microsoft Defender biztonsági intelligencia frissítése
• Törlés (az eszköz gyári alaphelyzetbe állítása, az összes adat, alkalmazás és beállítás eltávolítása)

A Configuration Manager által felügyelt eszközök:

• Kivonás
• Törlés
• Szinkronizálás (kényszerítse az eszközt, hogy azonnal jelentkezzen be a Intune új szabályzatok vagy függőben lévő műveletek kereséséhez)

Integráció más termékekkel és partnertechnológiákkal

Intune támogatja a belső és külső forrásból származó partneralkalmazásokkal való integrációt, amelyek a beépített képességeire is kiterjednek. A Intune több Microsoft-technológiával is integrálható.

Megfelelőségi partnerek

Tudnivalók az eszközmegfelelési partnerek Intune való használatáról. Ha egy eszközt nem Intune mobileszköz-kezelő partnerrel felügyel, akkor integrálhatja a megfelelőségi adatokat a Microsoft Entra ID. Integrálás esetén a feltételes hozzáférési szabályzatok a partneradatokat a Intune megfelelőségi adatai mellett használhatják.

Konfigurációkezelő

Számos Intune szabályzat és eszközművelet használható a felügyelt eszközök védelmére Configuration Manager. Az eszközök támogatásához konfigurálja a társfelügyeletet vagy a bérlői csatolást. Mindkettőt használhatja a Intune is.

• A közös felügyelettel egyidejűleg Configuration Manager és Intune is kezelheti a Windows-eszközöket. Telepítse a Configuration Manager-ügyfelet, és regisztrálja az eszközt a Intune. Az eszköz mindkét szolgáltatással kommunikál.

• A Bérlő csatolása beállítással szinkronizálást állíthat be a Configuration Manager hely és a Intune bérlője között. Ez a szinkronizálás egyetlen nézetet biztosít az összes olyan eszközhöz, amelyet a Microsoft Intune kezel.

Miután létrejött a kapcsolat Intune és Configuration Manager között, a Configuration Manager eszközei elérhetők lesznek a Microsoft Intune Felügyeleti központban. Ezután Intune szabályzatokat telepíthet ezekre az eszközökre, vagy eszközműveletekkel védheti őket.

Az alábbi védelmi megoldásokat alkalmazhatja:

• Tanúsítványokat helyezhet üzembe az eszközökön Intune Simple Certificate Enrollment Protocol (SCEP) vagy privát és nyilvános kulcspár (PKCS) tanúsítványprofilok használatával.
• Használjon megfelelőségi szabályzatot.
• Használjon végpontbiztonsági szabályzatokat, például víruskeresőt, végpontészlelést és -választ, valamint tűzfalszabályokat .
• Biztonsági alapkonfigurációk alkalmazása.
• A Windows Frissítések kezelése.

Mobilfenyegetés-védelmi alkalmazások

A Mobile Threat Defense- (MTD-) alkalmazások aktívan ellenőrzik és elemzik az eszközöket a fenyegetések kereséséhez. Ha integrálja (csatlakoztatja) a Mobile Threat Defense-alkalmazásokat a Intune, az alkalmazások felmérik az eszközök fenyegetési szintjét. Az eszközfenyegetettségi vagy kockázati szint kiértékelése fontos eszköz a szervezet erőforrásainak a feltört mobileszközökkel szembeni védelméhez. Ezután ezt a fenyegetésszintet különböző szabályzatokban, például feltételes hozzáférési szabályzatokban használhatja az erőforrásokhoz való hozzáférés kapujának biztosításához.

Használjon fenyegetésszintű adatokat eszközmegfelelésre, alkalmazásvédelemre és feltételes hozzáférésre vonatkozó szabályzatokkal. Ezek a szabályzatok az adatokat arra használják, hogy megakadályozzák a nem megfelelő eszközök hozzáférését a szervezet erőforrásaihoz.

Integrált MTD-alkalmazással:

• Regisztrált eszközök esetén:

  • Az Intune használatával telepítheti és kezelheti az MTD-alkalmazást az eszközökön.
  • Olyan eszközmegfelelőségi szabályzatokat telepíthet, amelyek a jelentett fenyegetési szintet használják a megfelelőség kiértékeléséhez.
  • Feltételes hozzáférési szabályzatok definiálása, amelyek az eszközök fenyegetési szintjét veszik figyelembe.
  • Alkalmazásvédelmi szabályzatok definiálása annak meghatározásához, hogy mikor kell letiltani vagy engedélyezni az adatokhoz való hozzáférést az eszköz fenyegetési szintje alapján.

• Az olyan eszközök esetében, amelyek nem regisztrálnak az Intune, de olyan MTD-alkalmazást futtatnak, amely integrálható a Intune, a fenyegetésszintű adataikat az alkalmazásvédelmi szabályzatokkal használva tiltsa le a szervezeti adatokhoz való hozzáférést.

Intune támogatja a következőkkel való integrációt:

• Több külső MTD-partner.
• Végponthoz készült Microsoft Defender, amely további képességeket támogat a Intune.

Végponthoz készült Microsoft Defender

A Végponthoz készült Microsoft Defender önmagában számos, a biztonságra összpontosító előnyt biztosít. Végponthoz készült Microsoft Defender a Intune is integrálható, és számos eszközplatformon támogatott. Az integráció révén mobil veszélyforrások elleni védelmi alkalmazást szerezhet, és az adatok és az eszközök biztonságának megőrzésére szolgáló képességeket adhat hozzá a Intune. Ezek a képességek a következők:

• A Microsoft Tunnel támogatása – Android-eszközökön a Végponthoz készült Microsoft Defender az ügyfélalkalmazás, amelyet a Microsoft Tunnel szolgáltatással, a Intune VPN Gateway-megoldásával használ. Ha Microsoft Tunnel-ügyfélalkalmazásként használják, nincs szükség előfizetésre a Végponthoz készült Microsoft Defender.

• Biztonsági feladatok – A biztonsági feladatokkal Intune rendszergazdák kihasználhatják Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés képességeit. A működés módja:

  • A Végponthoz készült Defender csapata azonosítja a kockázatos eszközöket, és létrehozza az Intune biztonsági feladatait a Végponthoz készült Defender biztonsági központban.
  • Ezek a feladatok Intune jelennek meg kockázatcsökkentési tanácsokkal, amelyeket Intune rendszergazdák használhatnak a kockázat csökkentésére.
  • Ha egy feladat megoldódott a Intune, az állapot visszajut a Végponthoz készült Defender biztonsági központba, ahol a kockázatcsökkentés eredményei kiértékelhetők.

• Végpontbiztonsági szabályzatok – Az alábbi Intune végpontbiztonsági szabályzatok integrálást igényelnek a Végponthoz készült Microsoft Defender. Bérlői csatolás használata esetén ezeket a szabályzatokat a Intune vagy Configuration Manager által felügyelt eszközökön is telepítheti.

  • Víruskereső szabályzat – Kezelheti a Microsoft Defender víruskereső beállításait és a Windows biztonság élményt a támogatott eszközökön, például a Windowson és a macOS-en.

  • Végpontészlelési és válaszszabályzat – Ezzel a szabályzattal konfigurálhatja a végpontészlelést és -választ (EDR), amely a Végponthoz készült Microsoft Defender képessége.

Feltételes hozzáférés

A feltételes hozzáférés egy Microsoft Entra képesség, amely a Intune együttműködve segít az eszközök védelmében. A Microsoft Entra ID regisztráló eszközök esetében a feltételes hozzáférési szabályzatok az Intune eszköz- és megfelelőségi adatait használhatják a felhasználókra és eszközökre vonatkozó hozzáférési döntések kikényszerítéséhez.

Feltételes hozzáférési szabályzat kombinálása a következőkkel:

• Az eszközmegfelelőségi szabályzatok megkövetelhetik, hogy az eszköz megfelelőként legyen megjelölve ahhoz, hogy az eszköz hozzá lehessen férni a szervezet erőforrásaihoz. A feltételes hozzáférési szabályzatok meghatározzák a védeni kívánt alkalmazásszolgáltatásokat, az alkalmazások vagy szolgáltatások elérésének feltételeit, valamint azokat a felhasználókat, amelyekre a szabályzat vonatkozik.

• Alkalmazásvédelem szabályzatok olyan biztonsági réteget adhatnak hozzá, amely biztosítja, hogy csak az Intune alkalmazásvédelmi szabályzatokat támogató ügyfélalkalmazások férhessenek hozzá az online erőforrásokhoz, például az Exchange-hez vagy más Microsoft 365-szolgáltatásokhoz.

A feltételes hozzáférés az alábbiakkal is együttműködik az eszközök biztonságának megőrzéséhez:

• Végponthoz készült Microsoft Defender és külső MTD-alkalmazások
• Eszközmegfelelési partneralkalmazások
• Microsoft Tunnel

Végponti jogosultságkezelés hozzáadása

A Végponti jogosultságkezelés (EPM) lehetővé teszi, hogy a Windows-felhasználókat standard felhasználóként futtassa, miközben a jogosultságokat csak szükség esetén emeli, a szervezet által beállított szervezeti szabályok és paraméterek szerint. Ez a kialakítás támogatja a minimális jogosultsági hozzáférés kikényszerítését, amely egy Teljes felügyelet biztonsági architektúra alapvető bérlője. Az EPM lehetővé teszi az informatikai csapatok számára, hogy hatékonyabban kezeljék a standard felhasználókat, és korlátozzák a támadási felületüket, mivel csak bizonyos, jóváhagyott alkalmazások vagy feladatok esetében engedélyezik, hogy az alkalmazottak rendszergazdaként fussanak.

A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.

A definiált EPM-jogosultságszint-emelési szabályok üzembe helyezésével csak a megbízható alkalmazások futtatását engedélyezheti emelt szintű környezetben. A szabályok például megkövetelhetik a fájlkivonatok egyezését vagy egy tanúsítvány meglétét a fájlok integritásának ellenőrzéséhez, mielőtt az eszköz fut.

További információ: Endpoint Privilege Management.

Következő lépések

Tervezze meg, hogy Intune képességeivel támogatja a zéró megbízhatóságú környezet felé vezető utat az adatok védelmével és az eszközök biztonságossá tételével. Az előző beágyazott hivatkozásokon túl, ha többet szeretne megtudni ezekről a képességekről, ismerje meg az adatbiztonságot és a Intune való megosztást.