Microsoft Intune
一句话简单说一下什么是Intune:
就是给公司做设备(电脑、手机、iPad)管理,比如设备是否注册,手机上应用的安全级别,设备遗失信息擦除功能等等
就是公司本来应该要求文件只在公司发的电脑里进行工作,但是现在大家都会BYOD(bring your own device),就是把自己的手机ipad拿来办公,这样就会有信息泄露的威胁。所以Intune拿来管理公司发放的设备,和管理BYOD的设备。管理整个设备的安全策略或者设备部分应用的安全策略。
Intune就是进行设备管理,允许员工使用自己的设备办公,提高员工的工作效率,但是也保证公司信息安全。
企业对移动设备的安全管理分为以下四个部分
- 身份和访问管理
- 移动设备和应用程序的管理
- 信息保护
- 威胁保护
Intune要实现:
5. 谁在进行访问,访问者的角色,访问者的账户有没有被黑
6. 用户所在的地点,IP地址是否匿名
7. 用户要访问什么应用程序
8. 设备本身是否健康,设备是否被托管,是否是机器人
9. 什么样的数据可以被访问,是否被分类,是否允许企业外部访问
Intune进行访问管理
Intune进行公司敏感数据保护
- 怎么保护私人设备上面的公司文件
- 怎么去保护应用程序里面的数据
- 怎么保护外部分享的数据
- 怎么保护本地和上云的敏感数据
用Azure Information Protection来保护云上和本地的敏感数据,包括三大部分。
5. 分类和打标签
6. 保护数据,敏感数据加密,定义使用权限
7. 监控,使用detailed tracking
应用场景一:如果标tag的文件是internal,但是被远程分享了,会发警报给管理员。
基于应用级别app level的设备和设备保护。
- 数据控制/隔离
公司数据即使在访问以后也会被控制,并且将私人数据和公司数据分开来,也就是说,手机版本word上私人文本和公司文本是分开管理的。 - 设备安全配置
要强行将设备加密,必须需要密码,必须要PIN,不能越狱,不能root - 限制app和URL
限制对某种app的访问权限,或者限制特定URL不能访问
应用场景二:如果用户用公司账户的onedrive,必须要用PIN码登录,可以在onedrive上读写编辑,但不能把文件存在其他云上。
- 你怎么去检测被黑用户凭据
- 怎么去检测黑客
- 怎么保护pass-the-hash pass-the-ticket
- 现有的规矩已经满足安全策略了吗
- 怎么实时修复,能自动修复吗
Enterprise MObility Suite EMS
企业可以分别购买Azure AD Premium,Intune,Azure Rights Management,或者也可以购买套餐,三个合在一起,更省钱。
Overview of Microsoft Intune
Intune是微软云平台的一部分,也是基于订阅的服务。
Intune服务不需要任何硬件基础设施
可以统一管理电脑和移动设备
帮助企业保护企业资产并且支持远程擦除数据
可以和现有的System center configuration manager 集成
也个本地AD运作,也可以跟云上AAD运作
管理门户网站是一个网页
是EMS的一部分
Intune支持的设备系统:
windows 8.1 or windows 10
windows phone 8.x+
iOS
Andriod
Mac OSX
对于未注册的设备进行应用级别的保护
目的:可以再托管应用内部保护公司数据,也防止托管应用的数据泄露复制到facebook etc.
可以擦除托管应用的数据
不需要MDM注册
用户可以通过公司门户下载安装应用
一般Intune注册步骤
- 创建一个Microsoft Intune账号,又O365的用户必须用一样的账号
- 设置一个内部UPN
- 将本地AD账户信息和AAD同步
- 启用Mobile Device Management authority
- 注册设备
- 部署公司门户
MDM Intune police options
Configurarion policy
- 管理设备上的安全设置和功能
- 比如密码、加密、硬件、系统、功能
Device compliance policy - 合规测类使用在conditional access部分,用来规范只有合规和条件的设备才能访问邮件等等其他服务
- 比如需要PIN 密码,email profile,最低的OS 版本,windows健康状态
conditional access policy - 条件访问策略是用来规范可访问的前提条件
- 条件包括:设备合规状态,设备的允许平台,用来访问服务的应用类型
Corporate device enrollment policy - 可以允许任何设备在任何地点访问公司数据并保证公司数据安全
resource access policy - microsoft intune wifi VPN email profile可以作为用户访问佐证
基本知识补充
A记录 (Address)是用来指定主机名(域名)对应的IP地址记录。通俗来说,A记录就是服务器的IP地址,域名绑定A记录就是告诉DNS,当输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。又称IP指向
CNAME canonical name 规范名字
允许将多个名字映射到同一台计算机,一个计算机只有一个IP地址,但是可以有多个域名,规定一个域名为A记录,其他域名为别名CNAME。这样,当需要改IP地址的时候,只需要改变A记录对应的IP地址,而不用去改变所有域名下面的IP地址。所以A记录可以看做是多域名里面的人大代表。
域名解析,将域名到IP地址的转换过程。IP地址是一串数字,未来方便好几,用域名来代替IP地址。域名解析用DNS服务完成。
MX记录邮件路由记录,用户可以将该域名下的邮件服务器指向到自己的mail server上。
TTL Time to live,标识DNS记录在DNS服务器上缓存的时间。