本文档中的安全建议旨在帮助你使用 Microsoft Intune 改善组织的安全状况。 这些建议受到接受的行业标准(例如 NIST 制定的行业标准、我们在Microsoft内部使用的配置基线以及与客户的接触体验)的影响。 本文中针对 Intune 的建议侧重于设备,但遵循以下Microsoft 安全未来计划 支柱:
- 保护标识和机密
- 保护租户并隔离生产系统
- 保护网络
- 保护工程系统
- 监视和检测网络威胁
- 加速响应和修正
提示
一些组织可能会完全按照书面内容接受这些建议,而其他组织可能会选择根据自己的业务需求进行修改。
建议在许可证可用的情况下实现以下所有控件。 这些模式和做法有助于为基于此解决方案构建的其他资源提供安全的基础。 随着时间的推移,会向此文档添加更多控件。
安全租户
确保租户级治理、标识和配置一致性。
| 支票 | 最低许可证要求 |
|---|---|
| 强制实施范围标记配置以支持委派管理和最低特权访问 | Microsoft Intune 计划 1 |
| 强制实施设备注册通知,以确保用户感知和安全载入 | Microsoft Intune 计划 1 |
| 强制实施 Windows 自动设备注册,以消除来自非托管终结点的风险 | Microsoft Intune 计划 1 条件访问) Microsoft Entra ID P1 ( |
| 合规性策略保护 Windows 设备 | Microsoft Intune 计划 1 |
| 合规性策略保护 macOS 设备 | Microsoft Intune 计划 1 |
| 合规性策略保护完全托管和公司拥有的 Android 设备 | Microsoft Intune 计划 1 |
| 合规性策略保护个人拥有的 Android 设备 | Microsoft Intune 计划 1 |
| 合规性策略保护 iOS/iPadOS 设备 | Microsoft Intune 计划 1 |
| 平台 SSO 配置为在 macOS 设备上加强身份验证 | Microsoft Intune 计划 1 条件访问) Microsoft Entra ID P1 ( |
| 强制实施 Defender for Endpoint 自动注册,以降低非托管 Android 威胁的风险 | Microsoft Intune 计划 1 Defender for Endpoint 计划 1 |
| 设备清理规则通过隐藏非活动设备来维护租户卫生 | Microsoft Intune 计划 1 |
| 条款和条件策略保护对敏感数据的访问 | Microsoft Intune 计划 1 |
| 公司门户品牌和支持设置可增强用户体验和信任 | Microsoft Intune 计划 1 |
| 已启用 Endpoint Analytics 以帮助识别 Windows 设备上的风险 | Microsoft Intune 计划 1 |
有关许可证的详细信息,请参阅:
保护设备
通过设备配置和安全策略保护终结点。
| 支票 | 最低许可证要求 |
|---|---|
| Windows 上的本地管理员凭据受 Windows LAPS 保护 | Microsoft Intune 计划 |
| macOS LAPS 在注册期间保护 macOS 上的本地管理员凭据 | Microsoft Intune 计划 1 |
| 限制 Windows 上的本地帐户使用以减少未经授权的访问 | Microsoft Intune 计划 1 |
| Windows 上的数据受 BitLocker 加密保护 | Microsoft Intune 计划 1 |
| FileVault 加密保护 macOS 设备上的数据 | Microsoft Intune 计划 1 |
| Windows 上的身份验证使用 Windows Hello for Business | Microsoft Intune 计划 1 |
| 攻击面减少规则应用于 Windows 设备,以防止利用易受攻击的系统组件 | Microsoft Intune 计划 1 Defender for Endpoint 计划 1 |
| Defender 防病毒策略保护 Windows 设备免受恶意软件的攻击 | Microsoft Intune 计划 1 Defender for Endpoint 计划 1 |
| Defender 防病毒策略保护 macOS 设备免受恶意软件的攻击 | Microsoft Intune 计划 1 Defender for Endpoint 计划 1 |
| Windows 防火墙策略防止未经授权的网络访问 | Microsoft Intune 计划 1 |
| macOS 防火墙策略防止未经授权的网络访问 | Microsoft Intune 计划 1 |
| 强制实施Windows 更新策略以降低未修补漏洞的风险 | Microsoft Intune 计划 1 |
| 安全基线应用于 Windows 设备以增强安全态势 | Microsoft Intune 计划 1 |
| 强制实施 macOS 更新策略,以降低未修补漏洞的风险 | Microsoft Intune 计划 1 |
| 强制执行适用于 iOS/iPadOS 的更新策略,以降低未修补漏洞的风险 | Microsoft Intune 计划 1 |
有关许可证的详细信息,请参阅:
保护数据
保护设备和传输中的数据,并强制实施对组织数据的安全访问。
| 支票 | 最低许可证要求 |
|---|---|
| Android 上的数据受应用保护策略的保护 | Microsoft Intune 计划 1 |
| iOS/iPadOS 上的数据受应用保护策略保护 | Microsoft Intune 计划 1 |
| 条件访问策略阻止来自非托管应用的访问 | Microsoft Intune 计划 1 条件访问) Microsoft Entra ID P1 ( |
| 条件访问策略阻止来自不合规设备的访问 | Microsoft Intune 计划 1 条件访问) Microsoft Entra ID P1 ( |
| 安全 Wi-Fi 配置文件保护 iOS 设备免受未经授权的网络访问 | Microsoft Intune 计划 1 |
| 安全 Wi-Fi 配置文件保护 macOS 设备免受未经授权的网络访问 | Microsoft Intune 计划 1 |
| 安全 Wi-Fi 配置文件保护 Android 设备免受未经授权的网络访问 | Microsoft Intune 计划 1 |
有关许可证的详细信息,请参阅: