跨移动应用和网络保护敏感数据是零信任策略的关键部分。 以下 Intune 建议通过跨平台强制实施安全访问、保护信息以及降低风险来反映Microsoft的“ 安全未来计划 ”。 这些检查通过应用保护、确保设备符合性以及保护与公司网络连接来保护业务数据的安全。
零信任安全建议
Android 上的数据受应用保护策略的保护
如果没有应用保护策略,在 Android 设备上访问的公司数据很容易通过非托管或恶意应用泄露。 用户可以无意中将敏感信息复制到个人应用、不安全地存储数据或绕过身份验证控制。 这种风险在未完全管理的设备(公司和个人上下文并存)上放大,增加了数据外泄或未经授权的访问的可能性。
实施应用保护策略可确保只有受信任的应用才能访问公司数据,即使在个人或 BYOD Android 设备上,公司数据仍受到保护。
这些策略强制加密、限制数据共享并要求进行身份验证,从而降低数据泄露的风险,并符合数据保护和条件访问零信任原则。
修正操作
部署在批准的 Android 应用中加密数据、限制共享和要求身份验证的 Intune 应用保护策略:
有关更多信息,请参阅:
iOS/iPadOS 上的数据受应用保护策略保护
如果没有应用保护策略,在 iOS/iPadOS 设备上访问的公司数据很容易通过非托管应用或个人应用泄露。 用户可以无意中将敏感信息复制到不安全的应用、将数据存储在公司边界之外或绕过身份验证控制。 在个人和工作上下文共存的 BYOD 设备上,这种风险尤其高,这增加了数据外泄或未经授权的访问的可能性。
应用保护策略可确保公司数据在批准的应用中保持安全,即使在个人设备上也是如此。 这些策略强制加密、限制数据共享并要求进行身份验证,从而降低数据泄露的风险,并符合数据保护和条件访问零信任原则。
修正操作
部署在批准的 iOS/iPadOS 应用中加密公司数据、限制共享和要求进行身份验证的 Intune 应用保护策略:
有关更多信息,请参阅:
条件访问策略阻止来自非托管应用的访问
如果Microsoft Entra条件访问策略未与应用保护控制相结合,则用户可以通过非托管或不安全的应用程序连接到公司资源。 这会将敏感数据暴露在数据泄露、未经授权的访问和法规不合规等风险中。 如果没有应用级数据保护、访问限制和数据丢失防护等安全措施,威胁参与者可以利用未受保护的应用来绕过安全控制并破坏组织数据。
在条件访问中强制实施 Intune 应用保护策略可确保只有受信任的应用可以访问公司数据。 这通过基于应用信任、数据包含和使用限制强制实施访问决策,支持零信任。
修正操作
在 Microsoft Entra 和 Intune 中配置基于应用的条件访问策略,以要求应用保护才能访问公司资源:
有关更多信息,请参阅:
条件访问策略阻止来自不合规设备的访问
如果Microsoft Entra条件访问策略不强制实施设备符合性,则用户可以从不符合安全标准的设备连接到公司资源。 这会使敏感数据面临恶意软件、未经授权的访问和法规不合规等风险。 如果没有加密强制实施、设备运行状况检查和访问限制等控制措施,威胁参与者可以利用不符合的设备来绕过安全措施并保持持久性。
要求条件访问策略中的设备符合性可确保只有受信任的安全设备可以访问公司资源。 这支持零信任,方法是根据设备运行状况和符合性状况强制执行访问决策。
修正操作
在 Microsoft Entra 中配置条件访问策略,以在授予对公司资源的访问权限之前要求设备符合性:
有关更多信息,请参阅:
安全 Wi-Fi 配置文件保护 iOS 设备免受未经授权的网络访问
如果未正确配置和分配 Wi-Fi 配置文件,则用户可能会不安全地连接或无法连接到受信任的网络,从而将公司数据公开为拦截或未经授权的访问。 如果没有集中管理,设备依赖于手动配置,从而增加了错误配置、弱身份验证和连接到恶意网络的风险。
在 Intune 中集中管理 iOS 设备的 Wi-Fi 配置文件可确保与企业网络建立安全且一致的连接。 这可以强制实施身份验证和加密标准,简化载入,并通过减少不受信任的网络暴露来支持零信任。
修正操作
使用 Intune 为 iOS/iPadOS 设备配置和分配安全 Wi-Fi 配置文件,以强制实施身份验证和加密标准:
有关更多信息,请参阅:
安全 Wi-Fi 配置文件保护 macOS 设备免受未经授权的网络访问
如果未正确配置和分配 Wi-Fi 配置文件,macOS 设备可能无法连接到安全网络或连接不安全,从而将公司数据公开为拦截或未经授权的访问。 如果没有集中管理,设备依赖于手动配置,从而增加了错误配置、弱身份验证和连接到恶意网络的风险。 这些差距可能导致数据拦截、未经授权的网络访问和违反合规性。
在 Intune 中集中管理 macOS 设备的 Wi-Fi 配置文件可确保与企业网络建立安全且一致的连接。 这可以强制实施身份验证和加密标准,简化载入,并通过减少不受信任的网络暴露来支持零信任。
修正操作
使用 Intune 为 macOS 设备配置和分配安全 Wi-Fi 配置文件,以强制实施身份验证和加密标准:
有关更多信息,请参阅:
安全 Wi-Fi 配置文件保护 Android 设备免受未经授权的网络访问
如果 Wi-Fi 配置文件未正确配置和分配,Android 设备可能无法连接到安全网络或连接不安全,导致公司数据遭到拦截或未经授权的访问。 如果没有集中管理,设备依赖于手动配置,从而增加了错误配置、弱身份验证和连接到恶意网络的风险。
在 Intune 中集中管理 Android 设备的 Wi-Fi 配置文件可确保与企业网络建立安全且一致的连接。 这可以强制实施身份验证和加密标准,简化载入,并通过减少不受信任的网络暴露来支持零信任。
使用 Intune 配置强制实施身份验证和加密标准的安全 Wi-Fi 配置文件。
修正操作
使用 Intune 为 Android 设备配置和分配安全 Wi-Fi 配置文件,以强制实施身份验证和加密标准:
有关更多信息,请参阅: