Microsoft Intune是一种移动设备管理解决方案,支持组织的零信任旅程。
零信任不是产品或服务。 相反,它是一种新式网络安全策略,它假定没有隐式信任,即使在企业网络中也是如此。 零信任方法会显式验证每个访问请求,持续评估风险,并在整个数字资产中强制实施最低特权访问,而不是默认信任用户、设备或应用程序。
零信任的核心原则包括:
| 显式验证 | 使用最小特权 | 假定漏洞 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 | 最大限度地减少影响范围,并对访问进行分段。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。 |
为什么要管理零信任的终结点?
现代企业在访问组织数据的终结点方面具有令人难以置信的多样性。 用户从任何位置、任何设备工作,比历史上任何时候都多。 这会产生巨大的攻击面,终结点很容易成为零信任安全策略中最薄弱的环节。
虽然组织通常主动保护电脑免受漏洞和攻击,但移动设备通常不受监视,并且没有保护。 了解访问公司资源的终结点是零信任设备策略的第一步。
为了避免将数据暴露在风险中,需要监视每个终结点的风险,并采用精细的访问控制来根据组织策略提供适当的访问权限级别。 例如,如果个人设备已越狱,则可以阻止其访问,以防止企业应用程序暴露在已知漏洞中。
有关Intune如何支持零信任原则的概述, (显式验证、使用最低特权访问以及假定违规) ,请参阅使用Microsoft Intune零信任。
七层零信任部署进度
为设备构建全面的零信任安全态势涉及逐步实现保护层。 每一层都基于上一层,从基本数据保护开始,并推进到复杂的威胁检测和数据丢失防护。
下表显示了零信任设备安全性的建议部署进度:
| 层 | 保护功能 | 你完成的任务 | 先决条件 | 许可要求 |
|---|---|---|---|---|
| 1 | 应用保护策略 | 无需设备注册即可保护应用中的组织数据。 为自带设备 (BYOD) 方案创建基础。 | 支持的应用 (Microsoft 365 个应用、已启用策略的应用) | Microsoft 365 E3、E5、F1、F3、F5 |
| 2 | 注册设备 | 在用户、设备和Intune之间建立关系。 启用设备管理和对访问资源的终结点的可见性。 | 特定于平台的先决条件 (MDM 颁发机构、证书) | Microsoft 365 E3、E5、F1、F3、F5 |
| 3 | 合规性策略 | 定义设备必须满足 (密码保护、OS 版本、加密) 的最低要求。 将设备标记为符合或不符合。 | 在第 2 层中注册的设备 | Microsoft 365 E3、E5、F3、F5 |
| 4 | 需要正常且合规的设备 | 实施企业零信任标识和设备访问策略。 请与标识团队协作,通过条件访问强制实施合规性,阻止来自不符合安全要求的设备的访问。 | 第 3 层的合规性策略,与标识管理员协调 | Microsoft 365 E3、E5、F3、F5 |
| 5 | 配置文件 | 配置设备设置以强化安全性。 部署安全基线。 将安全控制从组策略转移到云策略。 | 从第 2 层注册的设备 | Microsoft 365 E3、E5、F3、F5 |
| 6 | 设备风险监视 | 与 Microsoft Defender for Endpoint 集成,根据风险级别监视设备风险、检测威胁和阻止访问。 部署安全基线。 | Microsoft Defender for Endpoint设置,与威胁防护团队协调 | Microsoft 365 E5、F5 |
| 7 | 终结点 DLP | 使用Microsoft Purview 数据丢失防护保护终结点上的敏感数据。 基于敏感度标签监视和控制文件操作。 | Microsoft Purview 配置,已载入到第 6 层MDE的设备 | Microsoft 365 E5、E5 合规性加载项、F5 合规性加载项 |
了解七个部署层
本部分介绍零信任部署进度中的每个层。 虽然 七层表 显示了每个层完成的工作,但这些说明提供了上下文、示例和关键概念的说明。
应用保护不注册 (第 1 层)
应用保护策略保护应用中的组织数据,控制用户访问和共享工作数据的方式。 第 1 层侧重于在不要求注册的情况下保护 非托管个人设备上的 数据,但应用保护策略也可以应用于已注册的设备,以便进行深层防御。
用户从应用商店安装 Outlook 或 Teams 等应用,使用其工作帐户登录,数据保护策略会自动应用。 此方法通常称为 MAM,无需注册 或 自带设备 (BYOD) 。
例子: 用户的个人 iPhone 已安装 Outlook。 应用保护策略需要 PIN 才能访问工作电子邮件,防止将工作数据复制到个人应用,并阻止将电子邮件附件保存到个人云存储。 用户保持对其设备的完全控制,同时组织数据保持受保护。
提示
应用保护策略可以部署到未注册的设备 (第 1 层) 和注册的设备 (第 2 层以上) ,以在设备管理之外提供额外的应用级保护。
有关详细信息,请参阅部署指南:应用保护策略。
设备注册 (第 2 层)
注册会将设备注册到Intune,从而实现全面的设备管理。 Intune部署应用、配置设置、强制实施合规性策略,并提供对设备状态的完整可见性。
例子:企业笔记本电脑在 Windows Autopilot 设置过程中注册Intune。 Intune配置 Wi-Fi、部署证书、安装安全基线、强制实施 BitLocker 加密,并监视密码策略的符合性。
有关详细信息,请参阅 部署指南:注册设备。
合规性策略 (第 3 层)
合规性策略定义了设备访问组织资源必须满足的安全要求。 这些策略评估设备运行状况,并根据配置的设置(例如密码要求、OS 版本、加密状态和越狱检测)将设备标记为合规或不符合。
例子: 符合性策略要求 Windows 设备启用 BitLocker、运行最低操作系统版本,并使用至少包含 8 个字符的密码。 缺少 BitLocker 的用户笔记本电脑被标记为不符合。 如果强制实施第 4 层 () ,用户会收到有关该要求的通知,并且有时间在阻止访问之前进行修正。
提示
合规性策略评估设备状态,但不会自动阻止访问。 它们与条件访问 (第 4 层) 配合使用,以强制实施合规性要求。
有关详细信息,请参阅 部署指南:合规性策略。
要求 (第 4 层) 正常且合规的设备
此层通过在授予对组织资源的访问权限之前要求设备正常运行且合规,实现企业级零信任标识和设备访问策略。 与标识团队合作,在 Microsoft Entra ID 中创建条件访问策略,以强制实施第 3 层的合规性决策。
此层表示从评估到强制的转变。 在符合性策略将设备标记为合规或不合规后,条件访问策略使用该信号授予或阻止对电子邮件、SharePoint、Teams 和其他受保护资源的访问权限。
例子: 标识团队配置条件访问策略,该策略要求设备在用户可以访问Microsoft 365 应用之前标记为合规。 用户尝试从由 Intune 管理的 Windows 设备访问 Outlook。 设备不符合要求,因为它不符合Intune合规性要求,磁盘加密 (BitLocker) 未启用。 由于设备未标记为合规,条件访问会阻止对 Outlook 的访问,并提示用户解决问题。 用户启用 BitLocker 后,设备会将其更新的符合性状态报告给Intune。 设备评估为合规后,条件访问会重新评估登录并恢复对 Outlook 的访问。
注意
此层需要与标识团队协调。 虽然Intune管理中心提供Microsoft Entra ID的条件访问节点,但条件访问策略是在Entra ID 中创建的,而不是Intune。 有关工作流,请参阅 标识团队协调部分 。
有关详细信息,请参阅 要求使用条件访问的托管设备。
第 5 层) (配置文件
配置文件配置设备设置,以强化安全性、启用功能并在队列中创建一致的配置。 虽然符合性策略 (第 3 层) 评估设备是否符合要求,但配置文件会主动部署设置以确保正确配置设备。
可以通过设备配置文件或终结点安全策略部署设置。 设备配置文件支持广泛的方案,包括 Wi-Fi 和 VPN 配置文件、证书部署、密码策略、磁盘加密设置以及组策略等效项。 终结点安全策略提供专门针对防病毒、磁盘加密、防火墙、攻击面减少以及终结点检测和响应等安全设置的简化体验。
例子: 将 Windows 安全基线部署到企业笔记本电脑。 基线启用 Windows 防火墙,配置 BitLocker 加密,禁用旧协议,启用攻击面减少规则,并配置数十个其他安全设置。 用户无需手动配置任何这些设置,Intune自动应用这些设置。
提示
安全基线是预配置的配置文件,其中包含Microsoft建议的安全设置。 使用它们作为起点,然后根据组织的需求进行自定义。
有关详细信息,请参阅 部署配置文件。
设备风险监视 (第 6 层)
设备风险监视将Microsoft Defender for Endpoint与Intune集成,以添加持续威胁检测、设备风险评估和基于风险的访问控制。 此层从静态合规性检查转向实时响应活动威胁的动态安全监视。
将设备载入Microsoft Defender for Endpoint时,它们会开始报告安全遥测和威胁情报。 Defender 根据检测到的威胁、漏洞和安全状况,为每个设备分配 (安全、低、中、高或不可用) 的风险级别。 可以在合规性策略中使用此风险级别来阻止来自高风险设备的访问或触发修正操作。
例子: 用户的笔记本电脑感染了恶意软件。 Microsoft Defender for Endpoint检测到威胁并将设备标记为高风险。 评估设备风险的合规性策略会立即将设备标记为不符合。 条件访问会阻止用户访问组织资源,直到威胁得到修正,并且设备风险返回到可接受的级别。
提示
将 Defender for Endpoint 与 Intune 集成还可以部署更深入的安全配置,包括Microsoft Defender for Endpoint安全基线和高级威胁防护设置,例如攻击面减少规则、受控的文件夹访问和网络保护。
有关详细信息,请参阅Microsoft Defender for Endpoint集成。
终结点数据丢失防护 (第 7 层)
终结点数据丢失防护使用 Microsoft Purview 来防止敏感数据通过复制、打印、上传或传输操作离开托管终结点。 虽然早期层保护对资源的访问,但此层通过监视和控制用户与敏感文件交互的方式来保护数据本身。
载入到第 6 层Microsoft Defender for Endpoint的设备会自动加入终结点 DLP,无需额外的Intune配置。 合规性团队在 Microsoft Purview 门户中创建 DLP 策略,用于定义哪些敏感度标签、文件类型或内容模式触发保护操作。
例子: 合规性团队会创建 DLP 策略,防止将标记为“机密”的文件复制到 U 盘或上传到个人云存储。 用户尝试将机密财务报告复制到 U 盘。 终结点 DLP 会阻止操作,并显示说明限制的通知。 根据合规性团队配置策略的方式,块可能是绝对的,或者允许用户提供业务理由并继续操作。 将记录所有活动,以便进行合规性报告。
注意
作为Intune管理员,终结点 DLP 的角色仅限于确保设备载入到第 6 层Microsoft Defender for Endpoint () 。 所有 DLP 策略创建和管理都由合规性团队在 Microsoft Purview 门户中进行。
有关详细信息,请参阅 了解终结点 DLP 和 终结点 DLP 入门。
注册与载入
实现这些层时,你将使用两个相关但不同的概念: 注册 和 载入。 了解差异有助于阐明每个层发生的情况。
注册 (第 2 层) 向Intune注册设备,以便进行全面的设备管理。 载入 (第 6-7 层) 将设备配置为向特定服务(如 Microsoft Defender for Endpoint 或 Microsoft Purview)报告信息。
| 注册 | 载入 | |
|---|---|---|
| 功能 | 向 Intune 注册用于管理的设备。 Intune管理整个设备,包括应用、设置和策略。 | 将设备配置为与当前Microsoft Defender for Endpoint的特定 Microsoft 365 服务共享信息 (,Microsoft Purview) 。 |
| Scope | 完整的设备管理 - 配置设置、部署应用、强制实施合规性、监视设备运行状况。 | 仅限特定于服务的功能。 例如,加入到 MDE 启用威胁检测;加入 Purview 启用 DLP。 |
| 在此部署中 | 第 2 层:将设备注册到Intune管理中。 | 第 6 层:使用Intune将设备加入到Microsoft Defender for Endpoint。 第 7 层:Microsoft Purview 终结点 DLP 自动载入加入MDE的设备。 |
| 实现方式 | 特定于平台的注册方法:Microsoft Entra加入 (自动注册) 、Windows Autopilot、Apple 自动设备注册、手动注册。 | 使用 Intune 将载入配置部署到已注册的设备。 必须先在 Intune 中注册设备,然后才能将其载入MDE或 Purview。 |
注意
载入到Microsoft Defender for Endpoint可自动载入设备以Microsoft Purview 功能(包括 Endpoint DLP)。 无需其他Intune配置。
与Microsoft 365 个团队协调
实现零信任设备安全性需要组织中多个团队的协调。 当你管理Intune策略时,其他团队会管理协同工作以强制实施保护的补充服务。
标识团队 (Microsoft Entra ID)
他们的职责:管理条件访问策略、配置身份验证要求以及管理Microsoft Entra ID租户。
你的协调:
- (第 1 层) 创建应用保护策略后,请与标识团队协作,创建需要已批准的应用的条件访问策略。
- (第 3 层) 创建符合性策略后,协调要求合规设备的条件访问策略:
- 可以在 Intune 中创建和分配符合性策略,以定义设备要求。
- 标识团队在 Microsoft Entra 管理中心 中创建条件访问策略。
- 条件访问策略使用“要求设备标记为合规”授予控制。
- 确保这两个策略针对相同的用户组。
- 在启用强制之前,使用条件访问 What If 工具一起测试。
- 有关详细工作流,请参阅 使用条件访问的常见方法。
- 有关策略创建,请参阅 需要具有条件访问的托管设备。
相关指南:使用Intune进行条件访问
威胁防护团队 (Microsoft Defender)
他们的职责:设置和管理Microsoft Defender for Endpoint服务、调查威胁以及管理安全运营中心 (SOC) 工作流。
你的协调:
- 使用Intune将设备载入到第 6 层Microsoft Defender for Endpoint ()
- 将 Windows 安全基线和 Defender for Endpoint 安全基线部署到托管设备
- 接收来自 Defender 的设备风险信号,该信号馈入合规性策略
- 执行 Defender 安全管理员为修正发现的漏洞和错误配置而创建的Intune安全任务
- 在托管设备上检测到威胁时协调事件响应
相关指南:
数据安全和隐私团队 (Microsoft Purview)
他们的职责: 在 Microsoft Purview 中定义数据敏感度架构、创建 DLP 策略和管理合规性要求。
你的协调:
- 确保设备已载入,以支持终结点 DLP (自动载入,并在第 6 层) MDE加入
- 确定应从 DLP 策略中包括/排除哪些用户组
- 在 Microsoft Purview 门户中验证设备可见性
- 在 DLP 策略阻止或警告数据操作时支持用户教育
注意
作为Intune管理员,终结点 DLP 的角色仅限于确保设备载入到Microsoft Defender for Endpoint。 载入到MDE的设备将自动变为支持 DLP 的设备,无需进行其他Intune配置。 所有 DLP 策略创建和管理都由合规性团队在 Microsoft Purview 门户中进行。
相关指南:
跨团队协调的最佳做法
- 在每个层的初始部署期间建立定期协调会议。
- 文档所有权 - 明确由哪个团队管理哪些策略。
- 一起测试 - 在强制实施之前使用审核模式和 What If 工具。
- 在用户组上保持一致 - 确保跨服务进行一致的组分配。
- 规划通信 - 在策略可能影响用户体验时协调用户通知。
- 共享监视职责 - 每个团队监视其服务,但共享有关用户影响的见解。
后续步骤
零信任设备安全性入门:
- 部署指南:应用保护策略 - 第 1 层
- 部署指南:注册设备 - 第 2 层
- 部署指南:合规性策略 - 第 3 层
- 要求使用条件访问的托管设备 - 第 4 层
详细了解零信任:
- 零信任指导中心 - 企业级策略和体系结构
- 使用零信任保护终结点 - 以设备为中心的部署目标
- 使用 Microsoft 365 零信任部署计划 - 跨服务部署指南
探索高级保护层:
- 部署配置文件 - 第 5 层
- Microsoft Defender for Endpoint集成 - 第 6 层
- 了解终结点 DLP - 第 7 层