Microsoft Intune 能幫助你保持受管理裝置的安全與最新狀態,同時保護組織資料免於裝置遭到入侵。 資料保護包括控制使用者在受管理與非管理裝置上如何使用組織資料。 資料保護也延伸至阻擋可能被入侵裝置的資料存取。
本文重點介紹了許多Intune內建功能及可整合的合作夥伴技術Intune。 隨著你對它們的了解加深,你可以將多個平台整合起來,為邁向零信任環境的旅程提供更全面的解決方案。
從 Microsoft Intune 管理中心出發,Intune 支援運行 Android、iOS/iPad、Linux、macOS 及 Windows 的管理裝置。
當你使用 Configuration Manager 管理本地裝置時,可以透過設定租戶連結或共管理來將 Intune 政策擴展到這些裝置。
Intune 也能處理您管理的第三方產品所提供的資訊,這些產品提供裝置合規性與行動威脅防護。
透過政策保護裝置
部署 Intune 的端點安全、裝置配置及裝置合規政策,以配置裝置以達成組織的安全目標。 政策支援一個或多個設定檔,這些設定檔是你部署給已註冊裝置群組的平台專用規則集合。
透過端 點安全政策,部署以安全為重點的政策,幫助你專注於裝置安全並降低風險。 這些可用的任務能幫助你識別風險裝置,修復這些裝置,並將它們恢復到合規或更安全的狀態。
透過 裝置配置政策,管理定義裝置在組織中使用的設定與功能設定檔。 配置裝置以進行端點保護、為認證設置憑證、設定軟體更新行為等。
透過 裝置合規政策,你可以為不同的裝置平台建立設定檔,以建立裝置需求。 需求可能包括作業系統版本、磁碟加密的使用,或處於威脅管理軟體定義的特定 威脅等級 或以下。
Intune 可以保護不符合您政策的裝置,並提醒使用者,讓他們能讓裝置符合規定。
當你加入 條件存取 時,請設定政策,只允許合規設備存取你的網路和組織資源。 存取限制可能包括檔案分享和公司電子郵件。 條件存取政策也會與你與 Intune 整合的第三方裝置合規夥伴回報的裝置狀態資料運作。
以下是一些您可以透過現有政策管理的安全設定與任務:
認證方法 ——設定裝置如何向組織的資源、電子郵件和應用程式進行認證。
使用憑證來驗證 應用程式、組織資源,以及使用 S/MIME 進行電子郵件的簽署與加密。 當你的環境需要使用智慧卡時,你也可以設定 衍生憑證 。
設定有助於降低風險的設定,例如:
- 要求多重驗證(多因素驗證 (MFA) ,為使用者增加額外認證層。
- 設定必須符合的 PIN 和密碼條件,才能取得資源存取權。
- 啟用 Windows 裝置的 Windows Hello 企業版。
裝置加密 – 在 Windows 裝置管理 BitLocker,macOS 上管理 FileVault 。
軟體更新 – 管理裝置何時以及如何獲得軟體更新。 以下支援:
- Android 韌體 更新:
- FOTA) (Firmware Over-the-Air 支援,你可以用 FOTA 遠端更新裝置韌體。
- Zebra LifeGuard 空中 (LG OTA) - 透過 Intune 管理中心管理支援的 Zebra 裝置韌體更新。
- iOS - 管理裝置作業系統版本,以及裝置何時檢查並安裝更新。
- macOS - 管理註冊為監督裝置的 macOS 裝置的軟體更新。
- Windows-要管理裝置的 Windows Update 體驗,你可以設定裝置掃描或安裝更新的時間,將一組受管理裝置設定在特定功能版本,還有更多功能。
- Android 韌體 更新:
安全基線 – 部署 安全基線 ,為您的 Windows 裝置建立核心安全態勢。 安全基準是由相關產品團隊推薦的預先設定的 Windows 設定群組。 你可以使用提供的基準線,或編輯其實例,以達成目標裝置群組的安全目標。
虛擬私人網路 (VPN) – 透過 VPN 設定檔,為裝置指派 VPN 設定,讓它們能輕鬆連接組織的網路。 Intune 支援多種 VPN 連線類型與應用程式,這些應用程式包含部分平台內建功能,以及裝置上的第一方及第三方 VPN 應用程式。
Windows 本地管理員密碼解決方案 (LAPS) - 使用 Windows LAPS 政策,您可以:
- 強制本地管理員帳號的密碼要求
- 將裝置的本地管理員帳號備份到 Active Directory (AD) 或Microsoft Entra
- 安排這些帳號密碼的輪換,以幫助保護它們的安全。
透過政策保護資料
Intune 管理的應用程式及 Intune 的應用程式保護政策,能協助阻止資料外洩,保障組織資料安全。 這些保護措施可適用於註冊於 Intune 的裝置,也適用於未註冊的裝置。
Intune管理應用程式 (或短期) 管理應用程式,是指整合Intune App SDK 或由Intune App Wrapping Tool包裝的應用程式。 這些應用程式可以透過 Intune 應用程式保護政策來管理。 欲查看公開可用的受管理應用程式清單,請參閱 Intune 受保護的應用程式。
使用者可以使用受管理的應用程式來處理組織的資料以及自己的個人資料。 然而,當應用程式保護政策要求使用受管理應用程式時,該受管理應用程式是唯一可用來存取組織資料的應用程式。 應用程式防護規則不適用於使用者的個人資料。
應用程式防護政策是確保組織資料安全或被管理於應用程式中的規則。 規則中會指定必須使用的受管理應用程式,並定義該應用程式使用期間可對資料進行哪些處理。
以下是你可以在應用程式保護政策和受管理應用程式中設定的保護與限制範例:
- 設定應用程式層保護,例如在工作情境中開啟應用程式時需要輸入 PIN 碼。
- 控制組織資料在裝置上應用程式間的共享,例如阻擋複製貼上或螢幕擷取。
- 防止組織資料被儲存到個人儲存地點。
使用裝置動作來保護裝置與資料
你可以在 Microsoft Intune 管理中心執行裝置操作,幫助保護所選裝置。 你可以將這些動作中的子集當作 bulk device actions 執行,同時影響多個裝置。 而且 Intune 的多個遠端操作也能用於共管裝置。
裝置動作不是政策,且在被呼叫時生效一次。 如果裝置能在線存取,則會立即生效,或在裝置下一次開機或登入 Intune 時生效。 我認為這些行動是對配置和維護裝置群安全設定政策的補充。
以下是您可以執行的行動範例,幫助保護裝置與資料安全:
由 Intune 管理的裝置:
- BitLocker 按鍵旋轉 (Windows)
- 僅 (Apple 裝置停用啟用鎖,請參考 如何使用 Apple Business Manager 關閉啟用鎖)
- 僅在 Windows (進行全掃描或快速掃描)
- 遠端鎖定
- 退休 (,將組織資料從裝置中移除,但個人資料仍保留完整)
- 更新 Microsoft Defender 安全情報
- 清除 (恢復出廠設定,移除所有資料、應用程式和設定)
由 Configuration Manager 管理的裝置:
- 淘汰
- 擦去
- 同步 (強制裝置立即向Intune報到,以尋找新政策或待處理的操作)
與其他產品及合作夥伴技術整合
Intune 支援與來自第一方及第三方來源的合作夥伴應用程式整合,進一步擴展其內建功能。 你也可以將 Intune 與多項 Microsoft 技術整合。
合規夥伴
了解如何使用與 Intune 合作的裝置合規合作夥伴。 當你與 Intune 以外的行動裝置管理夥伴管理裝置時,你可以將該合規資料整合到 Microsoft Entra ID。 整合後,條件存取政策可同時使用合作夥伴資料與 Intune 的合規資料。
Configuration Manager
你可以使用許多 Intune 政策和裝置動作來保護你用 Configuration Manager 管理的裝置。 要支援這些裝置,請設定 共管理 或 租戶附加。 你也可以同時使用兩者搭配 Intune。
透過共管理,你可以同時用 Configuration Manager 和 Intune 管理 Windows 裝置。 你安裝 Configuration Manager 客戶端,並將裝置註冊到 Intune。 該裝置同時與兩個服務通訊。
使用 Tenant attach,你可以設定 Configuration Manager 站點與 Intune 租戶之間的同步。 這種同步功能讓你能看到所有使用 Microsoft Intune 管理的裝置的單一視圖。
Intune 與 Configuration Manager 建立連線後,來自 Configuration Manager 的裝置即可在 Microsoft Intune 管理中心使用。 接著你可以部署 Intune 政策給這些裝置,或使用裝置動作來保護它們。
您可以適用的一些保護措施包括:
- 可透過 SCEP) Intune簡易憑證註冊協定(Simple Certificate Enrollment (Protocol)或 PKCS) 憑證設定檔 (私鑰與公鑰對來部署憑證。
- 請使用合規政策。
- 使用端點安全政策,例如 防毒軟體、 端點偵測與回應,以及 防火牆 規則。
- 套用安全基準。
- 管理 Windows 匯報。
行動威脅防禦應用程式
行動威脅防禦 (MTD) 應用程式會主動掃描並分析裝置是否有威脅。 當你將 ) 行動威脅防禦應用程式整合 (連接Intune時,應用程式就能評估裝置的威脅等級。 評估裝置威脅或風險等級是保護組織資源免於行動裝置遭入侵的重要工具。 你可以在各種政策中利用這個威脅等級,例如條件存取政策,來幫助限制對這些資源的存取。
使用威脅層級資料,並包含裝置合規性、應用程式保護及條件存取等政策。 這些政策利用資料協助阻擋不合規的裝置存取組織資源。
內建 MTD 應用程式:
對於 已註冊的裝置:
- 使用 Intune 部署並管理裝置上的 MTD 應用程式。
- 部署利用裝置報告的威脅等級來評估合規性的設備合規政策。
- 定義條件存取政策,考量裝置的威脅等級。
- 定義應用程式保護政策,根據裝置的威脅等級,決定何時封鎖或允許存取資料。
對於未註冊 Intune 但運行與 Intune 整合的 MTD 應用程式的裝置,請利用其威脅等級資料配合你的應用程式保護政策,協助阻擋對組織資料的存取。
Intune 支援以下整合:
- 有好幾個 第三方 MTD 合作夥伴。
- 適用於端點的 Microsoft Defender,支援 Intune 的額外功能。
適用於端點的 Microsoft Defender
單獨而言,適用於端點的 Microsoft Defender 提供多項以安全為核心的優勢。 適用於端點的 Microsoft Defender 也支援 Intune,並支援多個裝置平台。 透過整合,你將獲得行動威脅防禦應用程式,並為 Intune 增添保障資料與裝置安全的功能。 這些功能包括:
支援Microsoft隧道——在 Android 裝置上,適用於端點的 Microsoft Defender 是你與 Microsoft 隧道(Intune VPN 閘道解決方案)搭配使用的用戶端應用程式。 當作為 Microsoft Tunnel 用戶端應用程式使用時,你不需要訂閱 適用於端點的 Microsoft Defender。
安全任務 – 透過安全任務,Intune 管理員可以善用 適用於端點的 Microsoft Defender 的威脅與弱點管理功能。 運作方式:
- 您的 Defender for Endpoint 團隊會識別處於風險中的裝置,並在 Defender for Endpoint 安全中心中為 Intune 建立安全任務。
- 這些任務會顯示在 Intune 中,並附有緩解建議,讓 Intune 管理員能用來降低風險。
- 當任務在 Intune 中解決時,該狀態會回傳給 Defender for Endpoint 安全中心,評估緩解措施的結果。
端點安全政策 – 以下 Intune 端點安全政策需要與 適用於端點的 Microsoft Defender 整合。 當你使用 tenant attached 時,你可以將這些政策部署到你用 Intune 或 Configuration Manager 管理的裝置上。
條件式存取
條件存取是 Microsoft Entra 的一項功能,與 Intune 配合使用,幫助保護裝置。 對於註冊 Microsoft Entra ID 的裝置,條件存取政策可利用 Intune 的裝置與合規細節來強制使用者與裝置的存取決策。
將條件存取政策與以下條件存取政策結合:
裝置合規政策 可能要求在使用該設備存取組織資源前,先將該裝置標記為合規。 條件存取政策會指定你想保護的應用程式服務、應用程式或服務可存取的條件,以及政策適用的使用者。
應用程式防護政策可以新增安全層,確保只有支援 Intune 應用程式保護政策的用戶端應用程式才能存取你的線上資源,例如 Exchange 或其他 Microsoft 365 服務。
條件存取也與以下功能合作,幫助您維護裝置安全:
- 適用於端點的 Microsoft Defender 及第三方 MTD 應用程式
- 裝置合規合作夥伴應用程式
- Microsoft Tunnel
新增端端點權限管理
端點權限管理 (EPM) 允許您將 Windows 使用者視為標準使用者,並在需要時提升權限,這是根據組織規則與組織設定的參數設計。 此設計支持最低權限存取的強制執行,這是零信任安全架構的核心原則。 EPM 讓 IT 團隊能更有效率地管理標準使用者,並限制攻擊面,因為員工只能以管理員身份執行特定且核准的應用程式或任務。
通常需要管理員權限的任務包括應用程式安裝 (Microsoft 365 應用程式) 、更新裝置驅動程式,以及執行某些 Windows 診斷。
透過部署你定義的 EPM 升高規則 ,你可以只允許你信任的應用程式在升高的情境中執行。 例如,你的規則可以要求檔案雜 湊 比對或憑證的 存在,以 驗證檔案完整性,才能在裝置上執行。
提示
端端點權限管理以 Intune 附加元件形式提供,需額外授權使用,並支援 Windows 裝置。
欲了解更多資訊,請參閱端端點權限管理。
後續步驟
計畫利用 Intune 的功能,透過保護資料與裝置安全,支持你邁向零信任環境的旅程。 除了前面的內嵌連結外,想了解更多這些功能,還要了解 Intune 中的資料安全與分享。