Hopp til hovedinnhold

Sikre og behandle enheter i Microsoft 365 Business Premium

Logo letter
Evelon AS
Jon-Alfred Smith
iPhone med diagram

Til forskjell fra Windows Active Directory (AD) har Azure AD ingen innebygde funksjoner for å forvalte datamaskiner. Til gjengjeld kommer Microsoft 365 Business Premium med Microsoft Intune, selskapets markedsledende plattform for mobil enhets- og applikasjonsbehandling. Den lar deg administrere maskiner med Windows, macOS og Linux, samt mobilenheter med Android og iOS/iPadOS – uansett hvor de befinner seg, så sant de er koblet opp mot Internett.

Samtidig har Intune utviklet seg til en stadig voksende produktfamilie for alt innen skyadministrasjon av endepunkter. Microsoft er i full gang med å videreutvikle infrastrukturen som driver Intune, ved å bruke datavitenskap og kunstig intelligens (KI). Sånn kan de levere styrket endepunktsbeskyttelse og -samsvar og utnytte datadrevne muligheter, som intelligent automatisering og utbedring. Intune sentraliserer og forenkler verktøy, styrker sikkerheten og reduserer de totale eierkostnadene.

Oversikt over Intune

Oversikt over Intune

Grafikken viser et høynivåbilde av arkitekturen i Intune. Microsoft Intune og Azure AD arbeider tett sammen. Begge kjører i Azure, Microsofts skyplattform for databehandling. Du konfigurerer enheter ved hjelp av konfigurasjonsprofiler, ikke ulikt fremgangsmåten med gruppepolicyer. Du sikrer data med beskyttelsespolicyer for apper og samsvarspolicyer for enheter. Intune lar deg rulle ut programvare, holde den oppdatert og tilpasse den med konfigurasjonspolicyer. Betinget tilgang sørger for at ressurser i virksomheten kun er tilgjengelig for godkjente brukere på tiltrodde enheter som kjører klarerte apper.

Du administrerer Intune i portalen for Endepunktbehandling. Det er full støtte for hybride miljøer med lokalt Windows AD. Med Intune kan du distribuere apper fra Apple App Store, Google Play og Microsoft Store. Azure AD godkjenner og autoriserer brukere når de benytter applikasjoner fra tredjeparter og i Microsoft 365. Med det følger alle sikkerhetsmekanismer i identitetstjenesten, som engangspålogging, multifaktor-autentisering (MFA) og ulike former for identitetsbeskyttelse. Kombinert med Intune blir enheten til en identitet i tillegg til bruker.

Intune er «null berøring» – du behøver ikke nærme deg enheter fysisk. Det gjør det til et ideelt verktøy for å forvalte maskiner som sjelden eller aldri er innom virksomheten. Det er støtte for bedriftseide og private enheter (BYOD). Intune gir detaljerte opplysninger om maskinvare og installerte programmer. Du kan sette opp varsler og ta ut rapporter, blant annet om enhetene er i samsvar med retningslinjene dine. Intune lar deg distribuere sertifikater, Wi-Fi-konfigurasjoner og VPN-profiler. Med Premium-løsningen som skal være klar i mars 2023, vil du blant annet få fjernhjelp med støtte for lyd, så det blir lett for IT-teknikere og brukere å samarbeide om å løse problemer på enheter. En annen funksjon er administrasjon av endepunktprivilegier, som gir sluttbrukere lokale admin-rettigheter ved behov. Dessuten er det annonsert avansert endepunktsanalyse og app-patching og -pakking med mer.

Administrerte enheter i Intune

Informasjon om enheter i adminsenter

Du innrullerer enheter i Intune. Det gir en oversikt over samtlige endepunkter i virksomheten som har tilgang til bedriftsressurser. Alle andre stenges ute allerede ved inngangsdøren. Du kan gjøre unntak for mobilenheter med appbeskyttelsespolicyer og opprettholde en høy grad av sikkerhet. Men det er anbefalt at også disse er registrert i Intune. Det forenkler synlighet og administrasjon og bidrar til å fjerne sårbarheter. Det er lettest å sikre noe når man vet hva man skal beskytte. Intune gir nettopp denne innsikten med tanke på datamaskiner og mobilenheter.

Et sentralt moment er samsvar (Compliance). Det innebærer at datamaskiner og enheter er konfigurert i overensstemmelse med retningslinjene i organisasjonen eller ikke er infisert med skadevare som er oppdaget av Defender for Business. Det benyttes som ett av signalene i Betinget tilgang og bestemmer om en bruker kan logge på fra enheten. Hvis den ikke er i samsvar, må den utbedres først.

Betinget tilgang med enhetsstatus

Håndhevelse av sxikkerhetspolicyer

Brukeridentiteter logger på med multifaktor-autentisering. Det kan være bruker- og sesjonsrisikoer knyttet til påloggingen som inngår i sanntidsevalueringen av policyene. Nå deltar også enheter. Intune gir en oversikt over enhetsinventaret og foretar en vurdering av helsetilstanden til enheten. Samlet bestemmer de hvordan sikkerhetspolicyene skal håndheves. Det igjen avgjør om det skal gis tilgang og i hvilken grad, som kan være begrenset eller tilpasset. Det foregår et samarbeid med andre mekanismer, som informasjonsbeskyttelse av data og trusselbeskyttelse på nettverket. Vi er avhengig av kontinuerlig overvåking og analyse, sammen med automatiserte rutiner for utbedring av svakheter og sårbarheter.

Fjernslette enheter og data

Enhetskontroll i adminsenter

Mobiler blir borte. Det er viktig å hindre uvedkommende i å få tilgang til kritisk informasjon. Retire (fratre, gå av) fjerner bedriftsdata som er administrert av Intune, uten å berøre personlige data, også kjent som selektiv tømming. Wipe (viske ut) nullstiller enheten til fabrikkinnstillingene. Enheten fjernes fra Intune og sletter alle data. Delete tar enheten ut av Intune. Remote lock låser enheten.

Sync fremtvinger en synkronisering med Intune. Remove passcode opphever beskyttelsen med passord eller PIN-kode. De fleste andre alternativene er grånet ut fordi mobilen er registrert manuelt som privat. Det gir administrator bare begrensede rettigheter. For full kontroll må en iPhone eller iPad være innrullert via Automatic Device Enrollment eller være satt opp med Apple Configurator.

Enheter i adminsenter

For Windows 10/11 finnes det en del flere alternativer. Maskinen er innrullert som bedriftseid ved hjelp av Windows Autopilot. Med Autopilot Reset (tilbakestilling) kan du klargjøre enheter som ligger i Autopilot, for neste bruker. Funksjonen kan også benyttes til å gjenopprette en Windows-installasjon det er for mange feil på. Du kan foreta virusskann med Microsoft Defender og rotere BitLocker-nøkkelen. Her setter du også opp en sesjon for fjernassistanse.

Moderne administrasjon med Intune

Du benytter Intune til mobil enhetsbehandling (Mobile Device Management – MDM) og mobil applikasjonsforvaltning (Mobile Application Management – MAM). MDM er basert på åpne standarder. Intune sender MDM-kommandoer over Internett. Hvert moderne operativsystem har en MDM-motor som lytter, utfører instruksjonene og leverer tilbakemeldinger. På den måten konfigurerer du enheter, og du får status om helsetilstanden deres. Dette er ikke veldig forskjellig fra hvordan gruppepolicyer i lokalt AD opererer for Windows-maskiner. Men her er plattformstøtten videre, og du kan håndtere enheter innenfor og utenfor lokalnettet. Du kan bruke MDM sammen med gruppepolicyer.

MAM er et spesialtilfelle i Microsoft-verden. Det krever apper som er integrert med Intune App SDK eller pakket inn med Intune App Wrapping Tool. Disse kan sikres med appbeskyttelsespolicyer. Det er ikke mange av dem, men nok til at du umiddelbart blir produktiv, som Office, Edge, OneDrive og Adobe Acrobat for iOS og Android. Du kan holde apper og data fullstendig atskilt fra personlige data ved at de lagres på forskjellige krypterte partisjoner. De kommuniserer heller ikke med hverandre om du hindrer funksjoner som Lagre somKopierKlipp og lim. Du kan fjernslette bedriftsdata uten at det går utover personlige data. Tilgangen til bedriftsappene beskytter du med PIN-kode, ansiktsgjenkjenning eller fingeravtrykk. MAM kan benyttes på ikke-administrerte og administrerte mobilenheter.

Typiske oppgaver i Intune

Du registrerer alle enheter i Intune, enten ved hjelp av automatiserte eller manuelle metoder. Begynn så med å sette opp endepunktssikerhet. Her finner du anbefalte grunnlinjer og forenklede policyer for sikkerhet. Sett opp regler for angrepsflatereduksjon. Tilpass enheter med konfigurasjonsprofiler. Rull ut programvare. Sørg for at datamaskiner og mobilenheter er oppdatert. Sett opp samsvarspolicyer. Ta ut rapporter.

Innrullere enheter i Intune

Oversikt over enheter

For Windows vil du typisk bruke Autopilot, som klargjør en maskin fullstendig. Et annet alternativ er å melde den inn i Azure AD ved å logge på med din Microsoft 365-bruker under første oppstart (men du kan også gjøre det senere). For Mac og andre enheter vil du vanligvis benytte deg av Firmaportalen.

Endepunktssikkerhet

Endepunktsikkerhet

Klikk på Endpoint security i Intune. Her beskytter og sikrer du alle enheter fra ett sted. Du aktiverer, konfigurer og distribuerer Microsoft Defender for Business for å forhindre sikkerhetsbrudd, og du får innsyn i organisasjonens sikkerhetsstatus. Med Microsofts anbefalte sikkerhetsinnstillinger tildeler du raskt grunnlinjer, uten at du trenger bla deg gjennom haugevis av dokumentasjon. Det er forenklede sikkerhetspolicyer for antivirus, diskkryptering og brannmur for Windows og macOS. Det er policyer for reduksjon av angrepsflater (bare Windows), endepunktsdeteksjon og respons, samt konto-beskyttelse.

Anbefalte sikkerhetsgrunnlinjer

Endepunktssikkerhet

Intune kommer med fire sikkerhetsgrunnlinjer som gjenspeiler Microsofts vurdering av beste praksis: Security Baseline for Windows 10 and later, Microsoft Defender for Endpoint Baseline, Microsoft Edge Baseline og Windows 365 Security Baseline (Preview). Du kan redigere og tilpasse grunnlinjene for så å tildele dem til brukere. Du tildeler profiler til enheter kun når de er maskinspesifikke.

Microsoft har i en årrekke publisert sikkerhetsbunnlinjer for deres produkter som fortsatt er tilgjengelig i Security & Compliance Toolkit. Det finnes også andre, så som CIS Security Baselines (benchmarks) og Security Technical Implementation Guides (STIG), utviklet av det Forsvarsdepartementet i USA. Fordelen med Microsofts er at det er utviklerne som står bak.

Forenklede sikkerhetspolicyer

Antivirus

Det er mye enklere å finne frem i disse konfigurasjonsprofilene. Microsoft Defender Antivirus er fullt på høyde med de beste antivirusløsningene. Lokalt benytter den signaturer, heuristikk, atferdsanalyse og maskinlæring og kommuniserer med tilsvarende moduler i skyen, med tilgang til en egen virtuell maskin for videre analyse av ukjent skadevare.

Regler for angrepsflatereduksjon

Profil i adminsenter

ASR-regler (Attack Surface Reduction) eller Regler for angrepsflatereduksjon kom i sin tid som en gigantisk oppdatering for Defender Antivirus. Den mest elegante måten å konfigurere dem på, er med Intune. De tar sikte på å hindre spesifikke aktiviteter som ofte brukes i forskjellige typer angrep. De fleste dekker egenskaper i Microsoft Office-produkter, andre er mer generelle. Du bør ikke aktivere noen av reglene før du har kontrollert om de ødelegger for applikasjoner som benyttes i virksomheten din. I stedet kjører du dem i overvåkingsmodus og henter ut rapporter i Defender for Business.

Konfigurere enheter

Enheter

Det er rikelig med muligheter til å konfigurere enheter. Administrative maler er importerte innstillinger fra .admx-filer som Microsoft har kuratert. Det er konfigurasjoner for optimalisering og begrensninger for enheter. Du kan sette opp en profil for å melde maskiner inn i et Windows AD-domene. Det er innstillinger for e-post, endepunkts- og identitetsbeskyttelse, kiosk og Defender for Business. Du kan avgrense nettverksområder. Det er ulike alternativer for sertifikater. Du kan konfigurere VPN, Wi-Fi og helseovervåking av Windows. Her har vi valgt Windows 11. Profilene for andre plattformer er ikke fullt så rikholdige, men avgjort til stede.

Distribuere programvare

Apper

Microsoft 365 Apps og Microsofts Chromium-baserte nettleser Edge er klar til installering på Windows og macOS. For mobiler henter du appene fra Google Play og Apple Store. På Windows håndteres de vanlige formatene: MSI, MSIX og AppX. For Win32 (EXE og avansert MSI) må du bruke Microsoft Win32 Content Prep Tool. App Wrapping Tool for Mac pakker inn de vanligste formatene for macOS.

Microsoft 365 er stadig ingen svart boks. Du kan monitorere installasjonen av appene. Det er også verdt å legge merke til at det er policyer for å appbeskyttelse og generelt å konfigurere applikasjoner.

Holde programvare oppdatert

Windows update

Du kan sette opp oppdateringsringer for Windows 10 og senere. Som standard holder Microsoft 365 Apps seg selv oppdatert på Windows og Mac. Rent generelt gjelder dette også for Android og iOS sammen med operativsystemene. Men en fullgod erstatning for verktøy som patcher all programvare fra Microsoft og tredjeparter, er Intune ikke. På den annen side gir Trussel- og sårbarhetsadministrasjon i Defender for Business, som kontinuerlig overvåker enhetene, alle nødvendige varsler om apper som må oppdateres.

Samsvarspolicyer

Properties

Med samsvarspolicyer og betinget tilgang angir vi hva en enhet må oppfylle før vi godtar at en bruker kan logge på fra den, som operativsystemnivå, kryptert lagring, sikker oppstart og PIN. Om Defender for Business oppdager mistenkelige aktiviteter som tyder på skadevare, er enheten heller ikke i samsvar. Påloggingen aksepteres først når tuslene er utbedret. Policyer må settes opp for alle plattformer.

Betinget tilgang for mobilenheter

Mobilenheter med Android og iOS/iPadOS kan holde bedriftsdata atskilt fra personlige data. Det gjør at vi kan behandle dem annerledes enn datamaskiner med Windows, macOS og Linux.

Mobil enhetsbehandling

En vanlig og anbefalt metode er å innrullere mobilenhetene i Intune og administrere dem med MDM. Vi rapporterer og måler enhetssamsvar og distribuerer innstillinger, sertifikater og profiler. Ved behov kan vi fjerne bedriftsdata fra enhetene om de stjeles, erstattes eller går tapt. Betinget tilgang forholder seg til om enhetene er i samsvar med våre retningslinjer.

Identitetspolicy

Med mobil applikasjonsbehandling behøver enhetene ikke å være registret i Intune, men kan være det. De får en multi-identitetspolicy. Du publiserer apper til brukere, konfigurer og sikrer dem og holder dem oppdatert. Administrerte apper som aksesserer bedriftsdata, er atskilt fra personlige apper for egne data. Du kan hindre at data kopieres på tvers av områdene. Betinget tilgang knyttes nå til appene.

Ta ut rapporter

Reports

Det er et rikt sett med rapporteringsmuligheter for å overvåke helsen og aktivitetene til endepunkter. Du får frem organisatoriske rapporter over den den siste, generelle tilstanden til enhetene dine som kan filtreres for å avgrense dataene. Det finnes trendrapporter med historiske data for å hjelpe deg med å identifisere mønstre og tendenser over tid.

Avsluttende ord

En innvending mot MDM som går igjen, er at gruppepolicyer har mange tusen flere innstillinger enn MDM-policyer, og at MDM ennå har en lang vei å gå. For det første har Microsoft importert en rekke gruppepolicyobjekter i Intune (du kan gjøre det selv også). For det andre skriver disse seg fra en helt annen tid da man i mye høyere grad var opptatt av å begrense hva brukere kunne foreta seg. Filosofien i MDM er å sikre enheter og åpne for trivsel og kreativitet som erfaringsmessig fører til økt arbeidsglød og innsats. Det henvender seg til mer datakyndige folk og millennium-generasjonen som er vokst opp med å være alltid tilkoblet. MDM er ideelt for virksomheter uten egen infrastruktur, men kan også integreres i et eksisterende miljø med lokalt Windows AD. Intune samarbeider med de innebygde funksjonene for trusselbeskyttelse og informasjonsbeskyttelse – som omtales i kommende innlegg.

De grafiske plansjene er fra Microsoft og fornorsket av oss. Skjermbildene er fra vårt testmiljø.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!