Шаг 5. Настройка управления мобильными устройствами: топ 10 действий для защиты вашей среды
active directory, advanced threat protection, exchange online protection, защита ит-инфраструктуры, информационная безопасность, персональные данные
В серии публикаций «Топ 10 действий для защиты вашей среды» описаны основные шаги, которые вы можете предпринять, инвестируя средства в решения для обеспечения безопасности от Microsoft 365. В статье «Шаг 5. Настройка управления мобильными устройствами» вы узнаете, как спланировать развертывание Microsoft Intune и настроить управление мобильными устройствами (MDM) в рамках стратегии унифицированного управления конечными точками (UEM).
В 1-4 шагах данной мы давали советы по защите айдентити с помощью Azure Active Directory (Azure AD). В следующих двух публикациях (Шаг 5 и Шаг 6) мы познакомим вас с ContosoCars, чтобы продемонстрировать процесс развертывания Microsoft Intune как часть вашей стратегии UEM для защиты данных организации на устройствах и приложениях.
ContosoCars – автомобильная компания, в главном офисе которой работает 1000 сотрудников, и еще 4000 сотрудников работают в нескольких филиалах в США. Также работает 2000 сервисных центров, которые принадлежат франчайзинговым компаниям. Чтобы оставаться конкурентоспособными, ИТ-отделам необходимо поддерживать целый ряд устройств, подключенных к облаку, для безопасного удаленного доступа к приложениям Office 365 и SaaS и конфиденциальным данным клиентов. В связи с расширением бизнеса сотрудникам отдела продаж по франшизе также необходим доступ к данным клиентов ContosoCars, однако их устройства не принадлежат ContosoCars.
Они определили следующие цели:
- Обеспечить максимально удобную работу в Windows 10 на всех своих корпоративных ПК.
- Разрешить сотрудникам использовать на работе личные устройства и мобильные телефоны.
- Защитить сеть от неизвестных или взломанных пользователей и устройств.
- Обеспечить защиту данных на планшетных устройствах, которыми пользуются несколько продавцов непосредственно в местах обслуживания и которые часто остаются на виду в сервисных центрах.
- Запретить сотрудникам получать доступ и дополнять корпоративные данные, если они увольняются из компании.
Планируйте ваше развертывание Intune
Как только компания ContosoCars обозначит свои цели, специалисты могут приступать к настройке сценариев использования, чтобы согласовать эти цели с типами и группами пользователей (рисунок 1). ContosoCars планирует предоставить своим сотрудникам в головном офисе и филиалах корпоративные устройства. Они не собираются обеспечивать корпоративными устройствами своих сотрудников, которые занимаются продажами франшизы, однако хотят обеспечить безопасный доступ к данным компании через в приложениях Office 365 через собственные планшеты сотрудников.
| Местоположение | Сотрудники | Собственник устройства | Группы | Платформы устройств | Требования |
| Корпоративный центральный офис (ЦО) | 1 000 | Корпорация | Сотрудники ЦО | ПК с Windows 10,MacBook | Защита электронной почты, настроек устройств, профилей и приложений |
|---|---|---|---|---|---|
| Филиал | 4 000 | Корпорация | Продажи | ПК с Windows 10, смартфоны на iOS и Android | |
| Франшиза | 2 000 офисов | Сотрудник | Сервисные центры | планшеты iOS и Android смартфоны iOS и Android |
Таблица 1. Сценарии использования и требования Intune, определенные специалистами ContosoCars
Дополнительную информацию о настройке целей, сценариев использования и требований можно найти в руководстве по планированию, проектированию и внедрению Intune. В руководство также включены рекомендации по разработке плана, который хорошо интегрируется с существующими системами, плана коммуникации, который учитывает различные каналы, используемые вашей аудиторией для получения информации, а также план развертывания и план поддержки.
Настройте управление мобильными устройствами (MDM)
После завершения этапа планирования ContosoCars может перейти к реализации своего плана Intune. ContosoCars использует Azure AD, чтобы полноценно пользоваться облачными службами Office 365 и воспользоваться всеми преимуществами безопасности на основе айдентити (см. Шаг 1. Идентификация пользователей). Прежде чем сотрудники смогут зарегистрировать свои устройства для управления с помощью Intune, IT-администраторам необходимо установить полномочия MDM Intune на портале Azure.
Для управления устройствами ContosoCars может добавлять и развертывать политики конфигурации. Они могут включать и отключать такие параметры и функции, как доставка программного обеспечения, защита конечных точек, защита айдентити и электронной почты. ContosoCars также может использовать политики конфигурации для развертывания Advanced Threat Protection (ATP) в Windows Defender – функции, которая обеспечивает мгновенное обнаружение и блокировку сложных угроз. После настройки Intune IT-администраторами, пользователи могут регистрировать устройства, входя в свой рабочий или учебный аккаунт для автоматического получения нужных профили конфигурации для своего устройства.
ContosoCars может настраивать устройства в соответствии с бизнес-требованиями и включать функции безопасности – например, Windows Hello, которая позволяет пользователям входить в систему на своих компьютерах с помощью набора биометрических данных и PIN-кода.
Управление личными устройствами
Далее по плану развертывания идет настройка личных iPhone и телефонов на ОС Android, которые сотрудники используют для доступа к рабочей электронной почте и корпоративным данным. ContosoCars наладит управление этими устройствами, требуя от сотрудников обязательной регистрации девайсов в Intune перед предоставлением доступа к рабочим приложениям, данным компании или электронной почте с помощью руководства по требованиям к регистрации. ContosoCars может настраивать политики конфигурации для этих устройств точно так же, как на ПК с Windows 10, а также добавлять дополнительные элементы управления безопасностью, настраивая политики соответствия устройств. Используя Azure AD, вы можете разрешать доступ или блокировать пользователей в режиме реального времени, если их степень соответствия меняется. Эти политики гарантируют подключение к сети только известных и исправных устройств.
Вот некоторые примеры:
- Требование от пользователей установки пароля для доступа к устройствам; пароль должен быть определенной сложности.
- Требование от пользователей установки PIN-кода для шифрования устройства; PIN—код должен быть определенной сложности.
- Запрет на доступ взломанным или рутованным устройствам, так как на них могут быть установлены неизвестные приложения.
- Требование к минимальной версии ОС на устройстве для обеспечения должного уровня исправлений безопасности.
- Требование, чтобы устройство соответствовало допустимому уровню риска для устройства или не превышало его.
В Windows 10 политики условного доступа интегрированы с Windows Defender ATP. Microsoft работает с ведущими партнерами по технологиям защиты от мобильных угроз, с целью обеспечения комплексной оценки рисков устройств на всех платформах.
Узнайте больше
Читайте нашу следующую публикацию «Шаг 6. Управление мобильными приложениями», в которой мы разбираем как использовать политики защиты приложений Intune для разрешения доступа к рабочей электронной почте и данным только утвержденным приложениям. Мы также расскажем, как ContosoCars обеспечивает безопасность конфиденциальных данных клиентов на франчайзинговых устройствах с общим доступом в сервисных центрах.