Microsoft Intune 是一种移动设备管理解决方案,支持组织的零信任旅程。
零信任不是产品或服务。 相反,它是一种新式网络安全策略,它假定没有隐式信任,即使在企业网络中也是如此。 零信任方法会显式验证每个访问请求,持续评估风险,并在整个数字资产中强制实施最低特权访问,而不是默认信任用户、设备或应用程序。
零信任的核心原则包括:
| 显式验证 | 使用最小特权 | 假定漏洞 |
|---|---|---|
| 始终根据所有可用的数据点进行身份验证和授权。 | 使用实时访问和恰时访问限制用户访问权限, (JIT/JEA) 、基于风险的自适应策略和数据保护。 | 最大限度地减少影响范围,并对访问进行分段。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。 |
设备和应用程序身份验证、授权和保护零信任
可以使用 Intune 保护组织拥有的设备上的访问和数据,以及用户用于工作的个人设备上的数据。 Intune 使用 Microsoft Entra 作为其标识服务可帮助你强制实施符合组织要求的设备符合性策略,同时提供有助于监视和实现零信任目标的报告。
| 零信任原则 | Intune 如何提供帮助 |
|---|---|
| 显式验证 | Intune 支持为应用、安全设置、设备配置、合规性Microsoft Entra条件访问等创建策略。 这些策略成为访问资源的身份验证和授权过程的一部分。 |
| 使用最小特权 | Intune 通过内置的应用体验(包括应用生命周期管理)简化了应用管理。 可以从专用应用商店分发应用、启用Microsoft 365 应用、部署 Win32 应用、创建应用保护策略以及管理对应用及其数据的访问权限。
Intune 的 Endpoint Privilege Management (EPM) 可帮助你移动组织的用户以没有管理员权限的标准用户身份运行,同时使这些用户能够完成任务并运行需要提升权限的应用。 适用于 Windows 和 macOS 的本地管理员密码解决方案 (LAPS) 的 Intune 策略可以帮助你保护和管理托管设备上的本地管理员帐户。 |
| 假定漏洞 | Intune 与移动威胁防御服务(包括Microsoft Defender for Endpoint和第三方合作伙伴服务)集成。 借助这些服务,可以创建用于响应威胁的终结点保护策略、执行实时风险分析以及自动修正。
集成 Intune 和 Defender 后,可以使用不断发展的工具,例如用于Security Copilot的漏洞修正代理。 此代理可识别托管设备上的常见漏洞和暴露 (CES) ,并提供可用于修正这些漏洞和风险的分步指南。 |
后续步骤
详细了解零信任以及如何使用 零信任 指导中心构建企业级策略和体系结构。
有关以设备为中心的概念和部署目标,请参阅使用零信任保护终结点。
对于 Microsoft 365 中的 Intune,请参阅 使用 Intune 概述管理设备。
详细了解其他Microsoft 365 功能,这些功能有助于使用 Microsoft 365 零信任部署计划来制定强大的零信任策略和体系结构。