Intune 系统学习-1

Microsoft Intune

一句话简单说一下什么是Intune：
就是给公司做设备（电脑、手机、iPad）管理，比如设备是否注册，手机上应用的安全级别，设备遗失信息擦除功能等等
就是公司本来应该要求文件只在公司发的电脑里进行工作，但是现在大家都会BYOD（bring your own device），就是把自己的手机ipad拿来办公，这样就会有信息泄露的威胁。所以Intune拿来管理公司发放的设备，和管理BYOD的设备。管理整个设备的安全策略或者设备部分应用的安全策略。

Intune就是进行设备管理，允许员工使用自己的设备办公，提高员工的工作效率，但是也保证公司信息安全。

企业对移动设备的安全管理分为以下四个部分

1. 身份和访问管理
2. 移动设备和应用程序的管理
3. 信息保护
4. 威胁保护

Intune要实现：
5. 谁在进行访问，访问者的角色，访问者的账户有没有被黑
6. 用户所在的地点，IP地址是否匿名
7. 用户要访问什么应用程序
8. 设备本身是否健康，设备是否被托管，是否是机器人
9. 什么样的数据可以被访问，是否被分类，是否允许企业外部访问

Intune进行访问管理

Intune进行公司敏感数据保护

1. 怎么保护私人设备上面的公司文件
2. 怎么去保护应用程序里面的数据
3. 怎么保护外部分享的数据
4. 怎么保护本地和上云的敏感数据

用Azure Information Protection来保护云上和本地的敏感数据，包括三大部分。
5. 分类和打标签
6. 保护数据，敏感数据加密，定义使用权限
7. 监控，使用detailed tracking

应用场景一：如果标tag的文件是internal，但是被远程分享了，会发警报给管理员。

基于应用级别app level的设备和设备保护。

1. 数据控制/隔离
   公司数据即使在访问以后也会被控制，并且将私人数据和公司数据分开来，也就是说，手机版本word上私人文本和公司文本是分开管理的。
2. 设备安全配置
   要强行将设备加密，必须需要密码，必须要PIN，不能越狱，不能root
3. 限制app和URL
   限制对某种app的访问权限，或者限制特定URL不能访问

应用场景二：如果用户用公司账户的onedrive，必须要用PIN码登录，可以在onedrive上读写编辑，但不能把文件存在其他云上。

1. 你怎么去检测被黑用户凭据
2. 怎么去检测黑客
3. 怎么保护pass-the-hash pass-the-ticket
4. 现有的规矩已经满足安全策略了吗
5. 怎么实时修复，能自动修复吗

Enterprise MObility Suite EMS
企业可以分别购买Azure AD Premium，Intune，Azure Rights Management，或者也可以购买套餐，三个合在一起，更省钱。

Overview of Microsoft Intune

Intune是微软云平台的一部分，也是基于订阅的服务。
Intune服务不需要任何硬件基础设施
可以统一管理电脑和移动设备
帮助企业保护企业资产并且支持远程擦除数据
可以和现有的System center configuration manager 集成
也个本地AD运作，也可以跟云上AAD运作
管理门户网站是一个网页
是EMS的一部分

扫描二维码关注公众号，回复： 10308129 查看本文章

Intune支持的设备系统：
windows 8.1 or windows 10
windows phone 8.x+
iOS
Andriod
Mac OSX

对于未注册的设备进行应用级别的保护
目的：可以再托管应用内部保护公司数据，也防止托管应用的数据泄露复制到facebook etc.
可以擦除托管应用的数据
不需要MDM注册
用户可以通过公司门户下载安装应用

一般Intune注册步骤

1. 创建一个Microsoft Intune账号，又O365的用户必须用一样的账号
2. 设置一个内部UPN
3. 将本地AD账户信息和AAD同步
4. 启用Mobile Device Management authority
5. 注册设备
6. 部署公司门户

MDM Intune police options

Configurarion policy

1. 管理设备上的安全设置和功能
2. 比如密码、加密、硬件、系统、功能
   Device compliance policy
3. 合规测类使用在conditional access部分，用来规范只有合规和条件的设备才能访问邮件等等其他服务
4. 比如需要PIN 密码，email profile，最低的OS 版本，windows健康状态
   conditional access policy
5. 条件访问策略是用来规范可访问的前提条件
6. 条件包括：设备合规状态，设备的允许平台，用来访问服务的应用类型
   Corporate device enrollment policy
7. 可以允许任何设备在任何地点访问公司数据并保证公司数据安全
   resource access policy
8. microsoft intune wifi VPN email profile可以作为用户访问佐证

基本知识补充
A记录 （Address）是用来指定主机名（域名）对应的IP地址记录。通俗来说，A记录就是服务器的IP地址，域名绑定A记录就是告诉DNS，当输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。又称IP指向
CNAME canonical name 规范名字
允许将多个名字映射到同一台计算机，一个计算机只有一个IP地址，但是可以有多个域名，规定一个域名为A记录，其他域名为别名CNAME。这样，当需要改IP地址的时候，只需要改变A记录对应的IP地址，而不用去改变所有域名下面的IP地址。所以A记录可以看做是多域名里面的人大代表。

域名解析，将域名到IP地址的转换过程。IP地址是一串数字，未来方便好几，用域名来代替IP地址。域名解析用DNS服务完成。

MX记录邮件路由记录，用户可以将该域名下的邮件服务器指向到自己的mail server上。

TTL Time to live，标识DNS记录在DNS服务器上缓存的时间。

Microsoft Intune （standalone）infrastructure configuration