Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Intune är en lösning för hantering av mobila enheter som stöder organisationens Nolltillit resa.
Nolltillit är inte en produkt eller tjänst. I stället är det en modern cybersäkerhetsstrategi som inte förutsätter något implicit förtroende, inte ens inom företagsnätverket. I stället för att lita på användare, enheter eller program som standard verifierar en Nolltillit metod uttryckligen varje åtkomstbegäran, utvärderar kontinuerligt risker och framtvingar åtkomst med minsta möjliga behörighet i hela den digitala egendomen.
Grundläggande principer för Nolltillit är:
| Verifiera explicit | Använd åtkomst med lägsta behörighet | Anta intrång |
|---|---|---|
| Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. | Begränsa användaråtkomst med just-in-time och just-enough-access (JIT/JEA), riskbaserade anpassningsbara principer och dataskydd. | Minimera explosionsradie och segmentåtkomst. Verifiera end-to-end-kryptering och använd analys för att få synlighet, öka hotidentifieringen och förbättra skyddet. |
Varför hantera slutpunkter för Nolltillit?
Det moderna företaget har en otrolig mångfald i slutpunkter som har åtkomst till organisationsdata. Användare arbetar var som helst, från valfri enhet, mer än när som helst i historiken. Detta skapar en massiv attackyta och slutpunkter kan enkelt bli den svagaste länken i din Nolltillit säkerhetsstrategi.
Organisationer är vanligtvis proaktiva när det gäller att skydda datorer mot sårbarheter och attacker, men mobila enheter går ofta oövervakade och utan skydd. Att få insyn i slutpunkter som har åtkomst till företagets resurser är det första steget i din Nolltillit enhetsstrategi.
För att undvika att exponera dina data för risker måste du övervaka varje slutpunkt för risker och använda detaljerade åtkomstkontroller för att leverera lämplig åtkomstnivå baserat på organisationens princip. Om en personlig enhet till exempel är jailbrokad kan du blockera dess åtkomst för att förhindra att företagsprogram exponeras för kända säkerhetsrisker.
En översikt över hur Intune stöder Nolltillit principer (verifiera uttryckligen, använd åtkomst med lägsta behörighet och anta intrång) finns i Nolltillit med Microsoft Intune.
Distributionsprogression på sju lager Nolltillit
Att skapa en omfattande Nolltillit säkerhetsstatus för enheter innebär stegvis implementering av skyddslager. Varje lager bygger på det föregående, som börjar med grundläggande dataskydd och avancerar till avancerad hotidentifiering och dataförlustskydd.
I följande tabell visas rekommenderad distributionsförlopp för Nolltillit enhetssäkerhet:
| Lager | Skyddskapacitet | Vad du åstadkommer | Förhandskrav | Licenskrav |
|---|---|---|---|---|
| 1 | Appskyddsprinciper | Skydda organisationsdata i appar utan att kräva enhetsregistrering. Skapar grunden för BYOD-scenarier (Bring Your Own Device). | Appar som stöds (Microsoft 365-appar, principaktiverade appar) | Microsoft 365 E3, E5, F1, F3, F5 |
| 2 | Registrera enheter | Upprätta en relation mellan användare, enhet och Intune. Aktivera enhetshantering och insyn i slutpunkter som har åtkomst till resurser. | Plattformsspecifika krav (MDM-utfärdare, certifikat) | Microsoft 365 E3, E5, F1, F3, F5 |
| 3 | Kompatibilitetsprinciper | Definiera minimikrav som enheter måste uppfylla (lösenordsskydd, os-version, kryptering). Markera enheter som kompatibla eller inkompatibla. | Enheter som registrerats i lager 2 | Microsoft 365 E3, E5, F3, F5 |
| 4 | Kräv felfria och kompatibla enheter | Implementera principer för företags- Nolltillit identitets- och enhetsåtkomst. Arbeta med identitetsteamet för att framtvinga efterlevnad via villkorsstyrd åtkomst och blockera åtkomst från enheter som inte uppfyller säkerhetskrav. | Efterlevnadsprinciper från nivå 3, samordning med identitetsadministratörer | Microsoft 365 E3, E5, F3, F5 |
| 5 | Konfigurationsprofiler | Konfigurera enhetsinställningar för att förstärka säkerheten. Distribuera säkerhetsbaslinjer. Flytta säkerhetskontroller från grupprincip till molnprinciper. | Registrerade enheter från lager 2 | Microsoft 365 E3, E5, F3, F5 |
| 6 | Övervakning av enhetsrisk | Integrera med Microsoft Defender för Endpoint för att övervaka enhetsrisker, identifiera hot och blockera åtkomst baserat på risknivå. Distribuera säkerhetsbaslinjer. | Microsoft Defender för Endpoint konfiguration, samordning med hotskyddsteamet | Microsoft 365 E5, F5 |
| 7 | Slutpunkts-DLP | Skydda känsliga data på slutpunkter med Dataförlustskydd i Microsoft Purview. Övervaka och kontrollera filåtgärder baserat på känslighetsetiketter. | Microsoft Purview-konfiguration, enheter som registrerats för att MDE i lager 6 | Microsoft 365 E5, E5 compliance add-on, F5 compliance add-on |
Förstå de sju distributionsskikten
I det här avsnittet beskrivs varje lager i Nolltillit distributionsförlopp. Tabellen med sju lager visar vad varje lager åstadkommer, men dessa beskrivningar ger sammanhang, exempel och förtydliganden av viktiga begrepp.
Appskydd utan registrering (Lager 1)
Appskydd principer skyddar organisationsdata i appar och styr hur användare får åtkomst till och delar arbetsdata. Layer 1 fokuserar på att skydda data på ohanterade personliga enheter utan att kräva registrering, men appskyddsprinciper kan också tillämpas på registrerade enheter för skydd på djupet.
Användare installerar appar som Outlook eller Teams från butiken, loggar in med sitt arbetskonto och dataskyddsprinciper tillämpas automatiskt. Den här metoden kallas ofta MAM utan registrering eller BYOD (Bring Your Own Device).
Exempel: En användares personliga iPhone har Outlook installerat. Din appskyddsprincip kräver en PIN-kod för åtkomst till e-post i arbetet, förhindrar kopiering av arbetsdata till personliga appar och blockerar sparande av e-postbilagor till personlig molnlagring. Användaren har fullständig kontroll över sin enhet medan organisationsdata förblir skyddade.
Tips
Appskydd principer kan distribueras till både oregistrerade enheter (lager 1) och registrerade enheter (lager 2+) för ytterligare skydd på appnivå utöver enhetshantering.
Mer information finns i Distributionsvägledning: Appskydd principer.
Enhetsregistrering (Lager 2)
Registrering registrerar enheter med Intune, vilket möjliggör omfattande enhetshantering. Intune distribuerar appar, konfigurerar inställningar, tillämpar efterlevnadsprinciper och ger fullständig insyn i enhetens tillstånd.
Exempel: En företagsdator registreras i Intune under Installationen av Windows Autopilot. Intune konfigurerar Wi-Fi, distribuerar certifikat, installerar säkerhetsbaslinjer, framtvingar BitLocker-kryptering och övervakar efterlevnaden av lösenordsprincipen.
Mer information finns i Distributionsvägledning: Registrera enheter.
Efterlevnadsprinciper (lager 3)
Efterlevnadsprinciper definierar säkerhetskrav som enheter måste uppfylla för att få åtkomst till organisationsresurser. Dessa principer utvärderar enhetens hälsa och markerar enheter som kompatibla eller inkompatibla baserat på inställningar som du konfigurerar, till exempel lösenordskrav, OS-versioner, krypteringsstatus och jailbreak-identifiering.
Exempel: Din efterlevnadsprincip kräver att Windows-enheter har BitLocker aktiverat, kör en lägsta operativsystemversion och använder ett lösenord med minst åtta tecken. En användares bärbara dator som saknar BitLocker är markerad som inkompatibel. Användaren får meddelanden om kravet och har tid att åtgärda innan åtkomst blockeras (om du framtvingar nivå 4).
Tips
Efterlevnadsprinciper utvärderar enhetens tillstånd men blockerar inte åtkomst automatiskt. De arbetar med villkorsstyrd åtkomst (lager 4) för att framtvinga efterlevnadskrav.
Mer information finns i Distributionsvägledning: Efterlevnadsprinciper.
Kräv felfria och kompatibla enheter (Layer 4)
Det här lagret implementerar principer Nolltillit för identitets- och enhetsåtkomst på företagsnivå genom att kräva att enheterna är felfria och kompatibla innan de beviljar åtkomst till organisationsresurser. Du arbetar med ditt identitetsteam för att skapa principer för villkorsstyrd åtkomst i Microsoft Entra ID som framtvingar efterlevnadsbeslut från nivå 3.
Det här lagret representerar övergången från utvärdering till tillämpning. När efterlevnadsprinciper markerar enheter som kompatibla eller inkompatibla använder principer för villkorsstyrd åtkomst den signalen för att bevilja eller blockera åtkomst till e-post, SharePoint, Teams och andra skyddade resurser.
Exempel: Ditt identitetsteam konfigurerar en princip för villkorsstyrd åtkomst som kräver att enheter markeras som kompatibla innan användarna kan komma åt Microsoft 365-appar. En användare försöker komma åt Outlook från en Windows-enhet som hanteras av Intune. Enheten är inkompatibel eftersom den inte uppfyller ett Intune efterlevnadskrav, diskkryptering (BitLocker) är inte aktiverat. Eftersom enheten inte är markerad som kompatibel blockerar villkorsstyrd åtkomst åtkomst till Outlook och uppmanar användaren att lösa problemet. När användaren aktiverar BitLocker rapporterar enheten sitt uppdaterade kompatibilitetstillstånd till Intune. När enheten har utvärderats som kompatibel utvärderar villkorsstyrd åtkomst inloggningen igen och åtkomsten till Outlook återställs.
Obs!
Det här lagret kräver samordning med ditt identitetsteam. Även om Intune administrationscenter visar noden villkorsstyrd åtkomst från Microsoft Entra ID skapas principer för villkorsstyrd åtkomst i Entra ID, inte Intune. Se avsnittet Samordning av identitetsteam för arbetsflödet.
Mer information finns i Kräv hanterade enheter med villkorsstyrd åtkomst.
Konfigurationsprofiler (Lager 5)
Konfigurationsprofiler konfigurerar enhetsinställningar för att förstärka säkerheten, aktivera funktioner och skapa konsekventa konfigurationer i hela flottan. Efterlevnadsprinciper (lager 3) utvärderar om enheter uppfyller kraven, men konfigurationsprofiler distribuerar proaktivt inställningar för att säkerställa att enheterna är korrekt konfigurerade.
Du kan distribuera inställningar via enhetskonfigurationsprofiler eller slutpunktssäkerhetsprinciper. Enhetskonfigurationsprofiler stöder breda scenarier, inklusive Wi-Fi- och VPN-profiler, certifikatdistribution, lösenordsprinciper, diskkrypteringsinställningar och grupprincip motsvarigheter. Slutpunktssäkerhetsprinciper ger effektiva upplevelser som fokuserar specifikt på säkerhetsinställningar som antivirus, diskkryptering, brandvägg, minskning av attackytan och slutpunktsidentifiering och svar.
Exempel: Du distribuerar en Säkerhetsbaslinje för Windows till företagets bärbara datorer. Baslinjen aktiverar Windows-brandväggen, konfigurerar BitLocker-kryptering, inaktiverar äldre protokoll, aktiverar regler för minskning av attackytan och konfigurerar dussintals andra säkerhetsinställningar. Användarna behöver inte konfigurera någon av de här inställningarna manuellt – Intune tillämpar dem automatiskt.
Tips
Säkerhetsbaslinjer är förkonfigurerade profiler som innehåller Microsofts rekommenderade säkerhetsinställningar. Använd dem som utgångspunkt och anpassa sedan baserat på organisationens behov.
Mer information finns i Distribuera konfigurationsprofiler.
Övervakning av enhetsrisk (lager 6)
Övervakning av enhetsrisker integrerar Microsoft Defender för Endpoint med Intune för att lägga till kontinuerlig hotidentifiering, riskbedömning av enheter och riskbaserade åtkomstkontroller. Det här lagret övergår från statiska efterlevnadskontroller till dynamisk säkerhetsövervakning som svarar på aktiva hot i realtid.
När du registrerar enheter för att Microsoft Defender för Endpoint börjar de rapportera säkerhetstelemetri och hotinformation. Defender tilldelar varje enhet en risknivå (skyddad, låg, medel, hög eller otillgänglig) baserat på identifierade hot, sårbarheter och säkerhetsstatus. Du kan använda den här risknivån i efterlevnadsprinciper för att blockera åtkomst från högriskenheter eller utlösa reparationsåtgärder.
Exempel: En användares bärbara dator blir infekterad med skadlig kod. Microsoft Defender för Endpoint identifierar hotet och markerar enheten som hög risk. Din efterlevnadsprincip som utvärderar enhetsrisk markerar omedelbart enheten som inkompatibel. Villkorsstyrd åtkomst blockerar användarens åtkomst till organisationens resurser tills hotet har åtgärdats och enhetsrisken återgår till en acceptabel nivå.
Tips
Genom att integrera Defender för Endpoint med Intune kan du också distribuera djupare säkerhetskonfigurationer, inklusive Microsoft Defender för Endpoint säkerhetsbaslinje och avancerade inställningar för skydd mot hot, till exempel regler för minskning av attackytan, kontrollerad mappåtkomst och nätverksskydd.
Mer information finns i Microsoft Defender för Endpoint integration.
Dataförlustskydd för slutpunkt (lager 7)
Dataförlustskydd för slutpunkter använder Microsoft Purview för att förhindra att känsliga data lämnar hanterade slutpunkter via kopierings-, utskrifts-, uppladdnings- eller överföringsåtgärder. Tidigare lager skyddar åtkomsten till resurser, men det här lagret skyddar själva data genom att övervaka och styra hur användare interagerar med känsliga filer.
Enheter som registrerats för Microsoft Defender för Endpoint i lager 6 registreras automatiskt för slutpunkts-DLP utan ytterligare Intune konfiguration. Ditt efterlevnadsteam skapar DLP-principer i Microsoft Purview-portalen som definierar vilka känslighetsetiketter, filtyper eller innehållsmönster som utlöser skyddsåtgärder.
Exempel: Efterlevnadsteamet skapar en DLP-princip som förhindrar att filer med etiketten "Konfidentiellt" kopieras till USB-enheter eller laddas upp till personlig molnlagring. En användare försöker kopiera en konfidentiell ekonomisk rapport till en USB-enhet. Slutpunkts-DLP blockerar åtgärden och visar ett meddelande som förklarar begränsningen. Beroende på hur efterlevnadsteamet konfigurerade principen kan blocket vara absolut eller tillåta att användaren anger en affärsmotivering och fortsätter. Alla aktiviteter loggas för efterlevnadsrapportering.
Obs!
Som Intune administratör är din roll för slutpunkts-DLP begränsad till att säkerställa att enheterna registreras för Microsoft Defender för Endpoint (lager 6). Alla skapande och hantering av DLP-principer sker i Microsoft Purview-portalen av ditt efterlevnadsteam.
Mer information finns i Läs mer om slutpunkts-DLP och Kom igång med slutpunkts-DLP.
Registrering jämfört med registrering
När du implementerar dessa lager arbetar du med två relaterade men olika begrepp: registrering och registrering. Att förstå skillnaden hjälper till att klargöra vad som händer på varje lager.
Registrering (Layer 2) registrerar enheter med Intune för omfattande enhetshantering. Onboarding (Lager 6–7) konfigurerar enheter för att rapportera information till specifika tjänster som Microsoft Defender för Endpoint eller Microsoft Purview.
| Registrering | Introduktioner | |
|---|---|---|
| Vad den gör | Registrerar enheter för hantering med Intune. Intune hanterar hela enheten, inklusive appar, inställningar och principer. | Konfigurerar enheter för att dela information med specifika Microsoft 365-tjänster (för närvarande Microsoft Defender för Endpoint och Microsoft Purview). |
| Omfattning | Fullständig enhetshantering – konfigurera inställningar, distribuera appar, framtvinga efterlevnad, övervaka enhetens hälsa. | Endast tjänstspecifika funktioner. Registrering till MDE aktiverar till exempel hotidentifiering. Registrering till Purview aktiverar DLP. |
| I den här distributionen | Lager 2: Du registrerar enheter i Intune hantering. | Lager 6: Du registrerar enheter för att Microsoft Defender för Endpoint med hjälp av Intune. Lager 7: Enheter som registrerats för MDE registreras automatiskt för Microsoft Purview Endpoint DLP. |
| Hur gör du det? | Plattformsspecifika registreringsmetoder: Microsoft Entra anslutning (automatisk registrering), Windows Autopilot, Automatisk enhetsregistrering för Apple, manuell registrering. | Använd Intune för att distribuera onboarding-konfiguration till registrerade enheter. Enheter måste registreras i Intune innan du kan registrera dem för att MDE eller Purview. |
Obs!
Registrering till Microsoft Defender för Endpoint registrerar automatiskt enheter för Microsoft Purview-funktioner, inklusive slutpunkts-DLP. Ingen ytterligare Intune konfiguration krävs.
Samordna med Microsoft 365-team
Implementering av Nolltillit enhetssäkerhet kräver samordning mellan flera team i din organisation. Medan du hanterar Intune principer hanterar andra team kompletterande tjänster som arbetar tillsammans för att framtvinga skydd.
Identitetsteam (Microsoft Entra ID)
Deras ansvar: Hantera principer för villkorsstyrd åtkomst, konfigurera autentiseringskrav och administrera Microsoft Entra ID klientorganisation.
Din samordning:
- När du har skapat appskyddsprinciper (lager 1) arbetar du med identitetsteamet för att skapa en princip för villkorsstyrd åtkomst som kräver godkända appar.
- När du har skapat efterlevnadsprinciper (lager 3) samordnar du principen för villkorsstyrd åtkomst som kräver kompatibla enheter:
- Du skapar och tilldelar efterlevnadsprinciper i Intune för att definiera enhetskraven.
- Identitetsteamet skapar en princip för villkorsstyrd åtkomst i Microsoft Entra administrationscenter.
- Principen för villkorsstyrd åtkomst använder beviljandekontrollen "Kräv att enheten är markerad som kompatibel".
- Se till att båda principerna riktar sig till samma användargrupper.
- Testa tillsammans med hjälp av what if-verktyget för villkorsstyrd åtkomst innan du aktiverar tvingande.
- Detaljerade arbetsflöden finns i Vanliga sätt att använda villkorsstyrd åtkomst.
- Information om hur du skapar principer finns i Kräv hanterade enheter med villkorsstyrd åtkomst.
Relaterad vägledning:Villkorlig åtkomst med Intune
Hotskyddsteamet (Microsoft Defender)
Deras ansvar: Konfigurera och hantera Microsoft Defender för Endpoint tjänst, undersöka hot och hantera SOC-arbetsflöden (Security Operations Center).
Din samordning:
- Använd Intune för att registrera enheter för att Microsoft Defender för Endpoint (lager 6)
- Distribuera både Säkerhetsbaslinje för Windows och Säkerhetsbaslinje för Defender för Endpoint till hanterade enheter
- Ta emot enhetsrisksignaler från Defender som matar in i efterlevnadsprinciper
- Agera på Intune säkerhetsuppgifter som skapas av Defender-säkerhetsadministratörer för att åtgärda identifierade säkerhetsrisker och felkonfigurationer
- Samordna incidenthantering när hot identifieras på hanterade enheter
Relaterad vägledning:
Datasäkerhets- och sekretessteam (Microsoft Purview)
Deras ansvar: Definiera datakänslighetsschema, skapa DLP-principer och hantera efterlevnadskrav i Microsoft Purview.
Din samordning:
- Se till att enheterna registreras för att stödja slutpunkts-DLP (automatiskt med MDE registrering i lager 6)
- Identifiera vilka användargrupper som ska inkluderas/undantas från DLP-principer
- Verifiera enhetens synlighet i Microsoft Purview-portalen
- Stöd för användarutbildning när DLP-principer blockerar eller varnar om dataåtgärder
Obs!
Som Intune administratör är din roll för slutpunkts-DLP begränsad till att se till att enheterna registreras för Microsoft Defender för Endpoint. Enheter som registreras för att MDE automatiskt bli DLP-kompatibla utan ytterligare Intune konfiguration. Alla skapande och hantering av DLP-principer sker i Microsoft Purview-portalen av ditt efterlevnadsteam.
Relaterad vägledning:
Metodtips för samordning mellan team
- Upprätta regelbundna samordningsmöten under den inledande distributionen av varje lager.
- Dokumentägarskap – Var tydlig med vilket team som hanterar vilka principer.
- Testa tillsammans – Använd granskningsläge och Verktyg för konsekvensanalys innan tvingande.
- Justera på användargrupper – Se till att det finns konsekventa grupptilldelningar mellan tjänster.
- Planera kommunikation – Samordna användarmeddelanden när principer kan påverka användarupplevelsen.
- Dela övervakningsansvar – Varje team övervakar sin tjänst, men delar insikter om användarpåverkan.
Nästa steg
Kom igång med Nolltillit enhetssäkerhet:
- Distributionsvägledning: Appskydd principer – Lager 1
- Distributionsvägledning: Registrera enheter – Lager 2
- Distributionsvägledning: Efterlevnadsprinciper – Lager 3
- Kräv hanterade enheter med villkorsstyrd åtkomst – Lager 4
Läs mer om Nolltillit:
- Nolltillit Guidance Center – Strategi och arkitektur i företagsskala
- Säkra slutpunkter med Nolltillit – Enhetscentrerade distributionsmål
- Nolltillit distributionsplan med Microsoft 365 – distributionsvägledning mellan tjänster
Utforska avancerade skyddslager:
- Distribuera konfigurationsprofiler – Layer 5
- Microsoft Defender för Endpoint integrering – Layer 6
- Läs mer om slutpunkts-DLP – lager 7