Konfigurera Microsoft Intune för Nolltillit: Säkra klienter (förhandsversion)

Det är viktigt att skydda din Intune klientorganisation för att upprätthålla Nolltillit principer och upprätthålla en säker och välhanterad miljö. De här rekommendationerna överensstämmer med Microsofts Secure Future Initiative genom att begränsa explosionsradien och framtvinga åtkomst med minsta möjliga privilegier via segmenterad administrativ kontroll, säker enhetsregistrering och principbaserat skydd. Tillsammans bidrar de till att minska riskerna, upprätthålla klienthygienen och stärka efterlevnaden på olika plattformar.

Nolltillit säkerhetsrekommendationer

Omfångstaggkonfiguration tillämpas för att stödja delegerad administration och åtkomst med lägsta behörighet

Om Intune omfångstaggar inte är korrekt konfigurerade för delegerad administration kan angripare som får privilegierad åtkomst till Intune eller Microsoft Entra ID eskalera privilegier och få åtkomst till känsliga enhetskonfigurationer i klientorganisationen. Utan detaljerade omfångstaggar är administrativa gränser otydliga, vilket gör det möjligt för angripare att flytta i sidled, manipulera enhetsprinciper, exfiltratera konfigurationsdata eller distribuera skadliga inställningar till alla användare och enheter. Ett enskilt komprometterat administratörskonto kan påverka hela miljön. Avsaknaden av delegerad administration undergräver också minst privilegierad åtkomst, vilket gör det svårt att begränsa överträdelser och genomdriva ansvarsskyldighet. Angripare kan utnyttja globala administratörsroller eller felkonfigurerade rollbaserade åtkomstkontrolltilldelningar (RBAC) för att kringgå efterlevnadsprinciper och få bred kontroll över enhetshantering.

Framtvinga omfångstaggar segmenterar administrativ åtkomst och justerar den med organisationens gränser. Detta begränsar explosionsradien för komprometterade konton, stöder åtkomst med lägsta behörighet och överensstämmer med Nolltillit principer för segmentering, rollbaserad kontroll och inneslutning.

Åtgärd för reparation

Använd Intune omfångstaggar och RBAC-roller för att begränsa administratörsåtkomsten baserat på roll, geografi eller affärsenhet:

• Lär dig hur du skapar och distribuerar omfångstaggar för distribuerad IT
• Implementera rollbaserad åtkomstkontroll med Microsoft Intune

Meddelanden om enhetsregistrering tillämpas för att säkerställa användarmedvetenhet och säker registrering

Utan meddelanden om enhetsregistrering kanske användarna inte känner till att deras enhet har registrerats i Intune , särskilt vid obehörig eller oväntad registrering. Den här bristen på synlighet kan fördröja användarrapportering av misstänkt aktivitet och öka risken för ohanterade eller komprometterade enheter som får åtkomst till företagsresurser. Angripare som hämtar användarautentiseringsuppgifter eller utnyttjar självregistreringsflöden kan tyst registrera enheter, kringgå användargranskning och aktivera dataexponering eller lateral förflyttning.

Registreringsmeddelanden ger användarna bättre insyn i enhetsregistreringsaktiviteten. De hjälper till att identifiera obehörig registrering, förstärka säkra etableringsmetoder och stödja Nolltillit principer för synlighet, verifiering och användarengagemang.

Åtgärd för reparation

Konfigurera Intune registreringsmeddelanden för att varna användare när deras enhet har registrerats och förstärka metoder för säker registrering:

• Konfigurera registreringsmeddelanden i Intune

Automatisk enhetsregistrering i Windows framtvingas för att eliminera risker från ohanterade slutpunkter

Om automatisk Registrering i Windows inte är aktiverat kan ohanterade enheter bli en startpunkt för angripare. Hotaktörer kan använda dessa enheter för att komma åt företagsdata, kringgå efterlevnadsprinciper och införa sårbarheter i miljön. Enheter som är anslutna till Microsoft Entra utan Intune registrering skapar luckor i synlighet och kontroll. Dessa ohanterade slutpunkter kan avslöja svagheter i operativsystemet eller felkonfigurerade program som angripare kan utnyttja.

Genom att framtvinga automatisk registrering säkerställer du att Windows-enheter hanteras från början, vilket möjliggör konsekvent principtillämpning och insyn i efterlevnad. Detta stöder Nolltillit genom att se till att alla enheter verifieras, övervakas och styrs av säkerhetskontroller.

Åtgärd för reparation

Aktivera automatisk registrering för Windows-enheter med Intune och Microsoft Entra för att säkerställa att alla domänanslutna eller Entra anslutna enheter hanteras:

• Aktivera automatisk registrering i Windows

Mer information finns i:

• Distributionsguide – Registrering för Windows

Efterlevnadsprinciper skyddar Windows-enheter

Om efterlevnadsprinciper för Windows-enheter inte har konfigurerats och tilldelats kan hotaktörer utnyttja ohanterade eller inkompatibla slutpunkter för att få obehörig åtkomst till företagsresurser, kringgå säkerhetskontroller och bevara dem i miljön. Utan framtvingad efterlevnad kan enheter sakna kritiska säkerhetskonfigurationer som BitLocker-kryptering, lösenordskrav, brandväggsinställningar och os-versionskontroll. Dessa luckor ökar risken för dataläckage, behörighetseskalering och lateral förflyttning. Inkonsekvent enhetsefterlevnad försvagar organisationens säkerhetsstatus och gör det svårare att identifiera och åtgärda hot innan betydande skador inträffar.

Genom att tillämpa efterlevnadsprinciper säkerställer du att Windows-enheter uppfyller grundläggande säkerhetskrav och stöder Nolltillit genom att verifiera enhetens hälsa och minska exponeringen för felkonfigurerade slutpunkter.

Åtgärd för reparation

Skapa och tilldela Intune efterlevnadsprinciper till Windows-enheter för att framtvinga organisationsstandarder för säker åtkomst och hantering:

• Skapa och tilldela Intune efterlevnadsprinciper
• Granska kompatibilitetsinställningarna för Windows som du kan hantera med Intune

Efterlevnadsprinciper skyddar macOS-enheter

Om efterlevnadsprinciper för macOS-enheter inte konfigureras och tilldelas kan hotaktörer utnyttja ohanterade eller inkompatibla slutpunkter för att få obehörig åtkomst till företagsresurser, kringgå säkerhetskontroller och bevara dem i miljön. Utan framtvingad efterlevnad kan macOS-enheter sakna kritiska säkerhetskonfigurationer som kryptering av datalagring, lösenordskrav och operativsystemversionskontroller. Dessa luckor ökar risken för dataläckage, behörighetseskalering och lateral förflyttning. Inkonsekvent enhetsefterlevnad försvagar organisationens säkerhetsstatus och gör det svårare att identifiera och åtgärda hot innan betydande skador inträffar.

Genom att tillämpa efterlevnadsprinciper säkerställer du att macOS-enheter uppfyller kärnsäkerhetskraven och stöder Nolltillit genom att verifiera enhetens hälsa och minska exponeringen för felkonfigurerade slutpunkter.

Reparationsåtgärder

Skapa och tilldela Intune efterlevnadsprinciper till macOS-enheter för att framtvinga organisationsstandarder för säker åtkomst och hantering:

• Skapa och tilldela Intune efterlevnadsprinciper
• Granska kompatibilitetsinställningarna för macOS som du kan hantera med Intune

Efterlevnadsprinciper skyddar fullständigt hanterade och företagsägda Android-enheter

Om efterlevnadsprinciper inte tilldelas till fullständigt hanterade Android Enterprise-enheter i Intune kan hotaktörer utnyttja inkompatibla slutpunkter för att få obehörig åtkomst till företagsresurser, kringgå säkerhetskontroller och bevara dem i miljön. Utan framtvingad efterlevnad kan enheter sakna kritiska säkerhetskonfigurationer, till exempel lösenordskrav, kryptering av datalagring och operativsystemversionskontroller. Dessa luckor ökar risken för dataläckage, behörighetseskalering och lateral förflyttning. Inkonsekvent enhetsefterlevnad försvagar organisationens säkerhetsstatus och gör det svårare att identifiera och åtgärda hot innan betydande skador inträffar.

Genom att tillämpa efterlevnadsprinciper säkerställer du att Android Enterprise-enheter uppfyller kärnsäkerhetskraven och stöder Nolltillit genom att verifiera enhetens hälsa och minska exponeringen för felkonfigurerade eller ohanterade slutpunkter.

Åtgärd för reparation

Skapa och tilldela Intune efterlevnadsprinciper till fullständigt hanterade och företagsägda Android Enterprise-enheter för att framtvinga organisationsstandarder för säker åtkomst och hantering:

• Skapa en efterlevnadsprincip i Microsoft Intune
• Granska kompatibilitetsinställningarna för Android Enterprise som du kan hantera med Intune

Efterlevnadsprinciper skyddar personligt ägda Android-enheter

Om efterlevnadsprinciper inte tilldelas till personligt ägda Android Enterprise-enheter i Intune kan hotaktörer utnyttja inkompatibla slutpunkter för att få obehörig åtkomst till företagsresurser, kringgå säkerhetskontroller och införa sårbarheter. Utan framtvingad efterlevnad kan enheter sakna kritiska säkerhetskonfigurationer som lösenordskrav, kryptering av datalagring och os-versionskontroller. Dessa luckor ökar risken för dataläckage och obehörig åtkomst. Inkonsekvent enhetsefterlevnad försvagar organisationens säkerhetsstatus och gör det svårare att identifiera och åtgärda hot innan betydande skador inträffar.

Efterlevnadsprinciper säkerställer att personligt ägda Android-enheter uppfyller grundläggande säkerhetskrav och stöder Nolltillit genom att verifiera enhetens hälsa och minska exponeringen för felkonfigurerade eller ohanterade slutpunkter.

Åtgärd för reparation

Skapa och tilldela Intune efterlevnadsprinciper till personligt ägda Android Enterprise-enheter för att framtvinga organisationsstandarder för säker åtkomst och hantering:

• Skapa en efterlevnadsprincip i Microsoft Intune
• Granska kompatibilitetsinställningarna för Android Enterprise som du kan hantera med Intune

Efterlevnadsprinciper skyddar iOS/iPadOS-enheter

Om efterlevnadsprinciper inte tilldelas till iOS/iPadOS-enheter i Intune kan hotaktörer utnyttja inkompatibla slutpunkter för att få obehörig åtkomst till företagsresurser, kringgå säkerhetskontroller och bevara dem i miljön. Utan framtvingad efterlevnad kan enheter sakna kritiska säkerhetskonfigurationer som lösenordskrav och os-versionskontroll. Dessa luckor ökar risken för dataläckage, behörighetseskalering och lateral förflyttning. Inkonsekvent enhetsefterlevnad försvagar organisationens säkerhetsstatus och gör det svårare att identifiera och åtgärda hot innan betydande skador inträffar.

Genom att tillämpa efterlevnadsprinciper säkerställer du att iOS/iPadOS-enheter uppfyller kärnsäkerhetskraven och stöder Nolltillit genom att verifiera enhetens hälsa och minska exponeringen för felkonfigurerade eller ohanterade slutpunkter.

Åtgärd för reparation

Skapa och tilldela Intune efterlevnadsprinciper till iOS/iPadOS-enheter för att framtvinga organisationsstandarder för säker åtkomst och hantering:

• Skapa en efterlevnadsprincip i Microsoft Intune
• Granska kompatibilitetsinställningarna för iOS/iPadOS som du kan hantera med Intune

Plattforms-SSO har konfigurerats för att stärka autentiseringen på macOS-enheter

Om principer för enkel inloggning på plattformen inte tillämpas på macOS-enheter kan slutpunkter förlita sig på osäkra eller inkonsekventa autentiseringsmekanismer, vilket gör att angripare kan kringgå principer för villkorsstyrd åtkomst och efterlevnad. Detta öppnar dörren för lateral förflyttning över molntjänster och lokala resurser, särskilt när federerade identiteter används. Hotaktörer kan bevaras genom att använda stulna token eller cachelagrade autentiseringsuppgifter och exfiltera känsliga data via ohanterade appar eller webbläsarsessioner. Avsaknaden av SSO-tillämpning undergräver också appskyddsprinciper och enhetsstatusutvärderingar, vilket gör det svårt att identifiera och begränsa överträdelser. I slutändan äventyrar misslyckandet med att konfigurera och tilldela macOS Platform SSO-principer identitetssäkerheten och försvagar organisationens Nolltillit hållning.

Genom att tillämpa principer för enkel inloggning på macOS-enheter säkerställs konsekvent och säker autentisering mellan appar och tjänster. Detta stärker identitetsskyddet, stöder tillämpning av villkorsstyrd åtkomst och överensstämmer med Nolltillit genom att minska beroendet av lokala autentiseringsuppgifter och förbättra hållningsbedömningarna.

Åtgärd för reparation

Använd Intune för att konfigurera och tilldela principer för plattforms-SSO för macOS-enheter för att framtvinga säker autentisering och stärka identitetsskyddet, se:

• Konfigurera plattforms-SSO för macOS i Intune – Stegvis vägledning för att aktivera plattforms-SSO på macOS-enheter.
• Översikt över enkel inloggning (SSO) och alternativ för Apple-enheter i Microsoft Intune – Översikt över alternativ för enkel inloggning som är tillgängliga för Apple-plattformar.

Automatisk registrering av Defender för Endpoint tillämpas för att minska risken från ohanterade Android-hot

Om automatisk registrering i Microsoft Defender för Endpoint inte har konfigurerats för Android-enheter i Intune kan hanterade slutpunkter förbli oskyddade mot mobila hot. Utan Defender-registrering saknar enheter avancerade funktioner för hotidentifiering och svar, vilket ökar risken för skadlig kod, nätfiske och andra mobilbaserade attacker. Oskyddade enheter kan kringgå säkerhetsprinciper, komma åt företagsresurser och göra känsliga data tillgängliga för intrång. Den här klyftan i skydd mot mobilhot försvagar organisationens Nolltillit hållning och minskar insynen i slutpunktshälsan.

Om du aktiverar automatisk Defender-registrering säkerställer du att Android-enheter skyddas av avancerade funktioner för hotidentifiering och svar. Detta stöder Nolltillit genom att framtvinga skydd mot mobilhot, förbättra synligheten och minska exponeringen för ohanterade eller komprometterade slutpunkter.

Åtgärd för reparation

Använd Intune för att konfigurera automatisk registrering i Microsoft Defender för Endpoint för Android-enheter för att framtvinga skydd mot mobilhot:

• Integrera Microsoft Defender för Endpoint med Intune och registrera enheter

Regler för enhetsrensning upprätthåller klientorganisationens hygien genom att dölja inaktiva enheter

Om reglerna för enhetsrensning inte har konfigurerats i Intune kan inaktuella eller inaktiva enheter förbli synliga i klientorganisationen på obestämd tid. Detta leder till röriga enhetslistor, felaktig rapportering och minskad insyn i det aktiva enhetslandskapet. Oanvända enheter kan behålla åtkomstautentiseringsuppgifter eller token, vilket ökar risken för obehörig åtkomst eller felinformerade principbeslut.

Regler för enhetsrensning döljer automatiskt inaktiva enheter från administratörsvyer och rapporter, vilket förbättrar klienthygienen och minskar den administrativa bördan. Detta stöder Nolltillit genom att upprätthålla en korrekt och tillförlitlig enhetsinventering samtidigt som historiska data bevaras för granskning eller undersökning.

Åtgärd för reparation

Konfigurera Intune regler för enhetsrensning för att automatiskt dölja inaktiva enheter från klientorganisationen:

• Skapa en regel för enhetsrensning

Mer information finns i:

• Använda Intune regler för enhetsrensningpå Microsoft Tech Community-bloggen

Principer för allmänna villkor skyddar åtkomsten till känsliga data

Om principer för allmänna villkor inte har konfigurerats och tilldelats i Intune kan användarna komma åt företagets resurser utan att godkänna nödvändiga juridiska villkor, säkerhet eller användningsvillkor. Den här utelämnandet exponerar organisationen för efterlevnadsrisker, juridiska skulder och potentiellt missbruk av resurser.

Genom att framtvinga allmänna villkor ser du till att användarna bekräftar och accepterar företagets principer innan de får åtkomst till känsliga data eller system, vilket stöder regelefterlevnad och ansvarsfull resursanvändning.

Åtgärd för reparation

Skapa och tilldela principer för allmänna villkor i Intune för att kräva användargodkännande innan åtkomst till företagsresurser beviljas:

• Skapa princip för allmänna villkor

Företagsportal varumärkes- och supportinställningar förbättrar användarupplevelsen och förtroendet

Om Intune-företagsportal varumärkesanpassning inte har konfigurerats för att representera organisationens information kan användarna stöta på ett allmänt gränssnitt och sakna direkt supportinformation. Detta minskar användarnas förtroende, ökar supportkostnaderna och kan leda till förvirring eller fördröjningar när det gäller att lösa problem.

Genom att anpassa Företagsportal med organisationens kontaktuppgifter för varumärkesanpassning och support förbättras användarnas förtroende, supporten effektiviseras och kommunikationen för enhetshantering förstärks.

Åtgärd för reparation

Konfigurera Intune-företagsportal med organisationens kontaktinformation för varumärkesanpassning och support för att förbättra användarupplevelsen och minska supportkostnaderna:

• Konfigurera Intune-företagsportal

Slutpunktsanalys är aktiverat för att identifiera risker på Windows-enheter

Om slutpunktsanalys inte är aktiverat kan hotaktörer utnyttja luckor i enhetens hälsotillstånd, prestanda och säkerhetsstatus. Utan slutpunktsanalysen för synlighet kan det vara svårt för en organisation att identifiera indikatorer som avvikande enhetsbeteende, fördröjd korrigering eller konfigurationsavvikelse. Dessa luckor gör det möjligt för angripare att etablera beständighet, eskalera privilegier och flytta i detalj över miljön. Avsaknad av analysdata kan hindra snabb identifiering och svar, vilket gör att angripare kan utnyttja oövervakade slutpunkter för kommando och kontroll, dataexfiltrering eller ytterligare kompromettering.

Aktivering av slutpunktsanalys ger insyn i enhetens hälsa och beteende, hjälper organisationer att identifiera risker, snabbt reagera på hot och upprätthålla en stark Nolltillit hållning.

Åtgärd för reparation

Registrera Windows-enheter i slutpunktsanalys i Intune för att övervaka enhetens hälsa och identifiera risker:

• Konfigurera slutpunktsanalys

Mer information finns i:

• Vad är slutpunktsanalys?

Relaterat innehåll

• Distributionsguide för Microsoft Intune
• Skydda data och enheter med Microsoft Intune
• Konfigurera Microsoft Entra för ökad säkerhet (förhandsversion)