保护Intune租户对于强制实施零信任原则和维护安全、管理良好的环境至关重要。 这些建议通过限制爆炸半径并通过分段管理控制、安全设备载入和策略驱动的保护来强制实施最低特权访问,从而与 Microsoft 的安全 未来计划 保持一致。 它们共同有助于降低风险、维护租户卫生以及加强跨平台的合规性。
零信任安全建议
强制实施范围标记配置以支持委派管理和最低特权访问
如果Intune范围标记未正确配置委派管理,则获得对Intune或Microsoft Entra ID特权访问权限的攻击者可能会升级权限并访问租户中的敏感设备配置。 如果没有精细的范围标记,则管理边界不明确,允许攻击者横向移动、作设备策略、泄露配置数据或将恶意设置部署到所有用户和设备。 单个遭到入侵的管理员帐户可能会影响整个环境。 缺少委派的管理也损害了最低特权的访问,使得难以遏制违规行为并强制实施问责。 攻击者可能会利用全局管理员角色或错误配置基于角色的访问控制 (RBAC) 分配来绕过合规性策略,并广泛控制设备管理。
强制实施范围标记会段管理访问权限,并将其与组织边界保持一致。 这会限制受攻击帐户的爆炸半径,支持最低特权访问,并符合分段、基于角色的控制和包含零信任原则。
修正操作
使用Intune范围标记和 RBAC 角色基于角色、地理位置或业务部门限制管理员访问权限:
强制实施设备注册通知,以确保用户感知和安全载入
如果没有设备注册通知,用户可能不知道其设备已在Intune中注册,尤其是在未经授权或意外注册的情况下。 这种缺乏可见性可能会延迟用户对可疑活动的报告,并增加非托管或泄露设备访问公司资源的风险。 获取用户凭据或利用自注册流的攻击者可以无提示地加入设备,绕过用户审查并启用数据泄露或横向移动。
注册通知为用户提供了对设备载入活动的更深入的可见性。 它们有助于检测未经授权的注册,加强安全预配做法,并支持零信任可见性、验证和用户参与原则。
修正操作
配置Intune注册通知,以在注册设备时向用户发出警报,并强化安全载入做法:
强制实施 Windows 自动设备注册,以消除来自非托管终结点的风险
如果未启用 Windows 自动注册,则非托管设备可能会成为攻击者的入口点。 威胁参与者可能会使用这些设备访问公司数据、绕过合规性策略,并在环境中引入漏洞。 在没有Intune注册的情况下加入Microsoft Entra的设备在可见性和控制方面造成了差距。 这些非托管终结点可能会暴露作系统中的弱点或攻击者可以利用的错误配置应用程序。
强制实施自动注册可确保从一开始就管理 Windows 设备,从而实现一致的策略实施和合规性可见性。 这通过确保所有设备都受到安全控件的验证、监视和管理,从而支持零信任。
修正操作
使用Intune和Microsoft Entra为 Windows 设备启用自动注册,以确保管理所有已加入域或已加入 Entra 的设备:
有关更多信息,请参阅:
合规性策略保护 Windows 设备
如果未配置和分配 Windows 设备的符合性策略,威胁参与者可能会利用非托管或不符合的终结点来获取对公司资源的未经授权的访问、绕过安全控制并保留在环境中。 如果不强制实施合规性,设备可能缺少关键的安全配置,例如 BitLocker 加密、密码要求、防火墙设置和 OS 版本控制。 这些差距会增加数据泄露、权限提升和横向移动的风险。 不一致的设备符合性会削弱组织的安全状况,并使得在发生重大损害之前更难检测和修正威胁。
强制实施符合性策略可确保 Windows 设备满足核心安全要求,并通过验证设备运行状况并减少对配置错误的终结点的风险,支持零信任。
修正操作
创建Intune合规性策略并将其分配给 Windows 设备,以强制实施组织标准以确保安全访问和管理:
合规性策略保护 macOS 设备
如果未配置和分配 macOS 设备的合规性策略,威胁参与者可能会利用非托管或不符合的终结点获取对公司资源的未经授权的访问、绕过安全控制并保留在环境中。 如果不强制实施合规性,macOS 设备可能缺少关键的安全配置,例如数据存储加密、密码要求和 OS 版本控制。 这些差距会增加数据泄露、权限提升和横向移动的风险。 不一致的设备符合性会削弱组织的安全状况,并使得在发生重大损害之前更难检测和修正威胁。
强制实施符合性策略可确保 macOS 设备满足核心安全要求,并通过验证设备运行状况并减少对配置错误的终结点的风险,支持零信任。
修正操作
创建Intune合规性策略并将其分配给 macOS 设备,以强制实施安全访问和管理的组织标准:
合规性策略保护完全托管和公司拥有的 Android 设备
如果未将合规性策略分配给Intune中完全托管的 Android Enterprise 设备,则威胁参与者可以利用不合规的终结点获取对公司资源的未经授权的访问、绕过安全控制并保留在环境中。 如果不强制实施符合性,设备可能会缺少关键的安全配置,例如密码要求、数据存储加密和 OS 版本控制。 这些差距会增加数据泄露、权限提升和横向移动的风险。 不一致的设备符合性会削弱组织的安全状况,并使得在发生重大损害之前更难检测和修正威胁。
强制实施符合性策略可确保 Android Enterprise 设备满足核心安全要求,并通过验证设备运行状况并减少对配置错误或非托管终结点的风险,支持零信任。
修正操作
创建Intune合规性策略并将其分配给完全托管的公司拥有的 Android Enterprise 设备,以强制实施安全访问和管理的组织标准:
合规性策略保护个人拥有的 Android 设备
如果在 Intune 中未将合规性策略分配给 Android Enterprise 个人拥有的设备,则威胁参与者可能会利用不合规的终结点获取对公司资源的未经授权的访问、绕过安全控制并引入漏洞。 如果不强制实施合规性,设备可能缺少关键的安全配置,例如密码要求、数据存储加密和 OS 版本控制。 这些差距会增加数据泄露和未经授权的访问的风险。 不一致的设备符合性会削弱组织的安全状况,并使得在发生重大损害之前更难检测和修正威胁。
实施符合性策略可确保个人拥有的 Android 设备满足核心安全要求,并通过验证设备运行状况并减少对错误配置或非托管终结点的暴露,支持零信任。
修正操作
创建Intune合规性策略并将其分配给 Android Enterprise 个人拥有的设备,以强制实施组织安全访问和管理标准:
合规性策略保护 iOS/iPadOS 设备
如果未将符合性策略分配给Intune中的 iOS/iPadOS 设备,则威胁参与者可以利用不合规的终结点获取对公司资源的未经授权的访问、绕过安全控制并保留在环境中。 如果不强制实施合规性,设备可能缺少关键的安全配置,例如密码要求和 OS 版本控制。 这些差距会增加数据泄露、权限提升和横向移动的风险。 不一致的设备符合性会削弱组织的安全状况,并使得在发生重大损害之前更难检测和修正威胁。
强制实施符合性策略可确保 iOS/iPadOS 设备满足核心安全要求,并通过验证设备运行状况并减少对错误配置或非托管终结点的暴露,支持零信任。
修正操作
创建Intune符合性策略并将其分配给 iOS/iPadOS 设备,以强制实施组织标准以确保安全访问和管理:
平台 SSO 配置为在 macOS 设备上加强身份验证
如果未在 macOS 设备上强制实施平台 SSO 策略,则终结点可能依赖于不安全或不一致的身份验证机制,从而允许攻击者绕过条件访问和符合性策略。 这为跨云服务和本地资源进行横向移动打开了大门,尤其是在使用联合标识时。 威胁参与者可以通过利用被盗的令牌或缓存的凭据来持久保存,并通过非托管应用或浏览器会话外泄敏感数据。 不强制实施 SSO 还会破坏应用保护策略和设备态势评估,从而难以检测和遏制违规行为。 最终,未能配置和分配 macOS 平台 SSO 策略会损害标识安全性,并削弱组织的零信任态势。
在 macOS 设备上强制实施平台 SSO 策略可确保跨应用和服务进行一致、安全的身份验证。 这可以增强标识保护,支持条件访问强制实施,并通过减少对本地凭据的依赖和改进态势评估来与零信任保持一致。
修正操作
使用 Intune 配置和分配 macOS 设备的平台 SSO 策略,以强制实施安全身份验证和加强标识保护,请参阅:
- 在 Intune 中配置适用于 macOS 的平台 SSO – 在 macOS 设备上启用平台 SSO 的分步指南。
- 单一登录 (SSO) Microsoft Intune 中 Apple 设备的概述和选项 – 适用于 Apple 平台的 SSO 选项概述。
强制实施 Defender for Endpoint 自动注册,以降低非托管 Android 威胁的风险
如果未为 Intune 中的 Android 设备配置自动注册到 Microsoft Defender for Endpoint,则托管终结点可能不受移动威胁的保护。 如果没有 Defender 载入,设备将缺乏高级威胁检测和响应功能,从而增加了恶意软件、网络钓鱼和其他基于移动的攻击的风险。 未受保护的设备可以绕过安全策略、访问公司资源,并公开敏感数据以泄露。 移动威胁防御中的这种差距削弱了组织的零信任态势,降低了对终结点运行状况的可见性。
启用自动 Defender 注册可确保 Android 设备受到高级威胁检测和响应功能的保护。 这通过强制实施移动威胁防护、提高可见性并减少对非托管终结点或遭到入侵的终结点的风险,从而支持零信任。
修正操作
使用 Intune 为 Android 设备配置自动注册到 Microsoft Defender for Endpoint,以强制实施移动威胁防护:
设备清理规则通过隐藏非活动设备来维护租户卫生
如果未在 Intune 中配置设备清理规则,则过时或非活动设备可能会无限期地在租户中保持可见。 这会导致设备列表混乱、报告不准确,以及活动设备布局的可见性降低。 未使用的设备可能会保留访问凭据或令牌,从而增加未经授权的访问或错误策略决策的风险。
设备清理规则会自动从管理员视图和报告中隐藏非活动设备,从而改善租户卫生并减轻管理负担。 这支持零信任,方法是保持准确且可信的设备清单,同时保留历史数据以供审核或调查。
修正操作
配置Intune设备清理规则,以自动从租户中隐藏非活动设备:
有关更多信息,请参阅:
- 使用Microsoft Tech Community博客上的Intune设备清理规则
条款和条件策略保护对敏感数据的访问
如果未在Intune中配置和分配条款和条件策略,则用户无需同意所需的法律、安全或使用条款即可访问公司资源。 此遗漏会使组织面临合规性风险、法律责任和潜在的资源滥用。
实施条款和条件可确保用户在访问敏感数据或系统之前确认并接受公司策略,支持合规性和负责任的资源使用。
修正操作
在 Intune 中创建和分配条款和条件策略,要求用户在授予对公司资源的访问权限之前接受:
公司门户品牌和支持设置可增强用户体验和信任
如果未将Intune 公司门户品牌配置为表示组织的详细信息,则用户可能会遇到泛型界面,并且缺少直接支持信息。 这会降低用户信任,增加支持开销,并可能导致混淆或延迟解决问题。
使用组织的品牌和支持联系人详细信息自定义公司门户可提高用户信任度、简化支持并增强设备管理通信的合法性。
修正操作
使用组织的品牌和支持联系信息配置Intune 公司门户,以增强用户体验并减少支持开销:
已启用 Endpoint Analytics 以帮助识别 Windows 设备上的风险
如果未启用终结点分析,威胁参与者可能会利用设备运行状况、性能和安全状况方面的差距。 如果没有可见性终结点分析带来,组织可能很难检测异常设备行为、延迟修补或配置偏差等指标。 这些差距使攻击者能够建立持久性、提升权限,并在环境中横向移动。 缺少分析数据可能会阻碍快速检测和响应,使攻击者能够利用不受监视的终结点进行命令和控制、数据外泄或进一步入侵。
启用终结点分析可让你了解设备运行状况和行为,帮助组织检测风险、快速应对威胁,并保持强大的零信任态势。
修正操作
在 Intune 中将 Windows 设备注册到终结点分析中,以监视设备运行状况并识别风险:
有关更多信息,请参阅: