Konfigurieren Microsoft Intune für Zero Trust: Sichere Mandanten (Vorschau)

Der Schutz Ihres Intune Mandanten ist wichtig, um Zero Trust Prinzipien durchzusetzen und eine sichere, gut verwaltete Umgebung zu gewährleisten. Diese Empfehlungen entsprechen der Secure Future Initiative von Microsoft, indem sie den Explosionsradius begrenzen und den Zugriff mit den geringsten Rechten durch segmentierte administrative Steuerung, sicheres Onboarding von Geräten und richtliniengesteuerten Schutz erzwingen. Zusammen tragen sie dazu bei, Risiken zu reduzieren, die Mandantenhygiene aufrechtzuerhalten und die Compliance plattformübergreifend zu stärken.

Zero Trust Sicherheitsempfehlungen

Die Konfiguration des Bereichstags wird erzwungen, um die delegierte Verwaltung und den Zugriff mit den geringsten Rechten zu unterstützen.

Wenn Intune Bereichstags nicht ordnungsgemäß für die delegierte Verwaltung konfiguriert sind, können Angreifer, die privilegierten Zugriff auf Intune oder Microsoft Entra ID erhalten, Berechtigungen eskalieren und auf vertrauliche Gerätekonfigurationen im gesamten Mandanten zugreifen. Ohne präzise Bereichstags sind administrative Grenzen unklar, sodass Angreifer sich seitlich bewegen, Geräterichtlinien bearbeiten, Konfigurationsdaten exfiltrieren oder schädliche Einstellungen für alle Benutzer und Geräte bereitstellen können. Ein einzelnes kompromittiertes Administratorkonto kann sich auf die gesamte Umgebung auswirken. Das Fehlen einer delegierten Verwaltung untergräbt auch den Zugriff mit den geringsten Rechten, wodurch es schwierig wird, Verstöße einzudämmen und Die Verantwortlichkeit durchzusetzen. Angreifer können globale Administratorrollen oder falsch konfigurierte Zuweisungen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) nutzen, um Compliancerichtlinien zu umgehen und umfassende Kontrolle über die Geräteverwaltung zu erlangen.

Das Erzwingen von Bereichstags segmentiert den Administrativen Zugriff und richtet ihn an den Grenzen der Organisation aus. Dies begrenzt den Explosionsradius von kompromittierten Konten, unterstützt den Zugriff mit den geringsten Rechten und richtet sich nach Zero Trust Prinzipien der Segmentierung, rollenbasierten Steuerung und Eindämmung.

Wartungsaktion

Verwenden Sie Intune Bereichstags und RBAC-Rollen, um den Administratorzugriff basierend auf Rolle, Geografie oder Geschäftseinheit einzuschränken:

• Erfahren Sie, wie Sie Bereichstags für verteilte IT-Ressourcen erstellen und bereitstellen.
• Implementieren der rollenbasierten Zugriffssteuerung mit Microsoft Intune

Benachrichtigungen zur Geräteregistrierung werden erzwungen, um die Benutzerfreundlichkeit und das sichere Onboarding sicherzustellen.

Ohne Benachrichtigungen zur Geräteregistrierung wissen Benutzer möglicherweise nicht, dass ihr Gerät bei Intune registriert wurde– insbesondere bei nicht autorisierten oder unerwarteten Registrierungen. Dieser Mangel an Sichtbarkeit kann die Meldung verdächtiger Aktivitäten durch Benutzer verzögern und das Risiko erhöhen, dass nicht verwaltete oder kompromittierte Geräte Zugriff auf Unternehmensressourcen erhalten. Angreifer, die Benutzeranmeldeinformationen erhalten oder Selbstregistrierungsabläufe ausnutzen, können Geräte im Hintergrund integrieren, indem sie die Benutzerkontrolle umgehen und die Offenlegung von Daten oder laterale Verschiebungen ermöglichen.

Registrierungsbenachrichtigungen bieten Benutzern einen verbesserten Einblick in die Aktivitäten des Geräte-Onboardings. Sie helfen dabei, nicht autorisierte Registrierungen zu erkennen, sichere Bereitstellungsmethoden zu stärken und Zero Trust Prinzipien der Sichtbarkeit, Überprüfung und Benutzerbindung zu unterstützen.

Wartungsaktion

Konfigurieren Sie Intune Registrierungsbenachrichtigungen, um Benutzer zu benachrichtigen, wenn ihr Gerät registriert ist, und verstärken Sie sichere Onboardingmethoden:

• Einrichten von Registrierungsbenachrichtigungen in Intune

Die automatische Windows-Geräteregistrierung wird erzwungen, um Risiken durch nicht verwaltete Endpunkte zu beseitigen.

Wenn die automatische Windows-Registrierung nicht aktiviert ist, können nicht verwaltete Geräte zu einem Einstiegspunkt für Angreifer werden. Bedrohungsakteure können diese Geräte verwenden, um auf Unternehmensdaten zuzugreifen, Konformitätsrichtlinien zu umgehen und Sicherheitsrisiken in die Umgebung einzuführen. Geräte, die mit Microsoft Entra ohne Intune Registrierung verbunden sind, schaffen Lücken in der Sichtbarkeit und Kontrolle. Diese nicht verwalteten Endpunkte können Schwachstellen im Betriebssystem oder falsch konfigurierte Anwendungen offenlegen, die Angreifer ausnutzen können.

Durch das Erzwingen der automatischen Registrierung wird sichergestellt, dass Windows-Geräte von Anfang an verwaltet werden, sodass eine konsistente Richtlinienerzwingung und Einblick in die Compliance möglich sind. Dies unterstützt Zero Trust, indem sichergestellt wird, dass alle Geräte überprüft, überwacht und durch Sicherheitskontrollen gesteuert werden.

Wartungsaktion

Aktivieren Sie die automatische Registrierung für Windows-Geräte mithilfe von Intune und Microsoft Entra, um sicherzustellen, dass alle in die Domäne eingebundenen oder Entra geräte verwaltet werden:

• Aktivieren der automatischen Windows-Registrierung

Weitere Informationen finden Sie unter:

• Bereitstellungshandbuch: Registrierung für Windows

Kompatibilitätsrichtlinien schützen Windows-Geräte

Wenn Konformitätsrichtlinien für Windows-Geräte nicht konfiguriert und zugewiesen sind, können Bedrohungsakteure nicht verwaltete oder nicht konforme Endpunkte ausnutzen, um nicht autorisierten Zugriff auf Unternehmensressourcen zu erhalten, Sicherheitskontrollen zu umgehen und in der Umgebung beizubehalten. Ohne erzwungene Compliance fehlen auf Geräten wichtige Sicherheitskonfigurationen wie BitLocker-Verschlüsselung, Kennwortanforderungen, Firewalleinstellungen und Betriebssystemversionssteuerungen. Diese Lücken erhöhen das Risiko von Datenlecks, Rechteausweitung und lateraler Verschiebung. Inkonsistente Gerätekonformität schwächt den Sicherheitsstatus der organization und erschwert die Erkennung und Behebung von Bedrohungen, bevor ein erheblicher Schaden auftritt.

Durch das Erzwingen von Konformitätsrichtlinien wird sichergestellt, dass Windows-Geräte die wichtigsten Sicherheitsanforderungen erfüllen und Zero Trust unterstützen, indem die Geräteintegrität überprüft und die Gefährdung durch falsch konfigurierte Endpunkte verringert wird.

Wartungsaktion

Erstellen und Zuweisen Intune Konformitätsrichtlinien für Windows-Geräte, um Organisationsstandards für sicheren Zugriff und die sichere Verwaltung durchzusetzen:

• Erstellen und Zuweisen Intune Konformitätsrichtlinien
• Überprüfen Sie die Windows-Konformitätseinstellungen, die Sie mit Intune verwalten können.

Konformitätsrichtlinien schützen macOS-Geräte

Wenn Konformitätsrichtlinien für macOS-Geräte nicht konfiguriert und zugewiesen sind, können Bedrohungsakteure nicht verwaltete oder nicht konforme Endpunkte ausnutzen, um nicht autorisierten Zugriff auf Unternehmensressourcen zu erhalten, Sicherheitskontrollen zu umgehen und in der Umgebung beizubehalten. Ohne erzwungene Compliance fehlen auf macOS-Geräten wichtige Sicherheitskonfigurationen wie Datenspeicherverschlüsselung, Kennwortanforderungen und Betriebssystemversionssteuerungen. Diese Lücken erhöhen das Risiko von Datenlecks, Rechteausweitung und lateraler Verschiebung. Inkonsistente Gerätekonformität schwächt den Sicherheitsstatus der organization und erschwert die Erkennung und Behebung von Bedrohungen, bevor ein erheblicher Schaden auftritt.

Durch das Erzwingen von Konformitätsrichtlinien wird sichergestellt, dass macOS-Geräte die wichtigsten Sicherheitsanforderungen erfüllen und Zero Trust unterstützen, indem die Geräteintegrität überprüft und die Gefährdung durch falsch konfigurierte Endpunkte verringert wird.

Wartungsaktionen

Erstellen und Zuweisen Intune Konformitätsrichtlinien für macOS-Geräte, um Organisationsstandards für sicheren Zugriff und sichere Verwaltung durchzusetzen:

• Erstellen und Zuweisen Intune Konformitätsrichtlinien
• Überprüfen Sie die macOS-Konformitätseinstellungen, die Sie mit Intune verwalten können.

Compliancerichtlinien schützen vollständig verwaltete und unternehmenseigene Android-Geräte

Wenn Konformitätsrichtlinien nicht vollständig verwalteten Android Enterprise-Geräten in Intune zugewiesen sind, können Bedrohungsakteure nicht konforme Endpunkte ausnutzen, um nicht autorisierten Zugriff auf Unternehmensressourcen zu erhalten, Sicherheitskontrollen zu umgehen und in der Umgebung beizubehalten. Ohne erzwungene Compliance fehlen auf Geräten wichtige Sicherheitskonfigurationen wie Kennungsanforderungen, Datenspeicherverschlüsselung und Betriebssystemversionssteuerungen. Diese Lücken erhöhen das Risiko von Datenlecks, Rechteausweitung und lateraler Verschiebung. Inkonsistente Gerätekonformität schwächt den Sicherheitsstatus der organization und erschwert die Erkennung und Behebung von Bedrohungen, bevor ein erheblicher Schaden auftritt.

Durch das Erzwingen von Konformitätsrichtlinien wird sichergestellt, dass Android Enterprise-Geräte die wichtigsten Sicherheitsanforderungen erfüllen und Zero Trust unterstützen, indem die Geräteintegrität überprüft und die Gefährdung durch falsch konfigurierte oder nicht verwaltete Endpunkte verringert wird.

Wartungsaktion

Erstellen und zuweisen Intune Konformitätsrichtlinien für vollständig verwaltete und unternehmenseigene Android Enterprise-Geräte, um Organisationsstandards für sicheren Zugriff und die sichere Verwaltung zu erzwingen:

• Erstellen einer Konformitätsrichtlinie in Microsoft Intune
• Überprüfen Sie die Android Enterprise-Konformitätseinstellungen, die Sie mit Intune verwalten können.

Compliancerichtlinien schützen persönliche Android-Geräte

Wenn Compliancerichtlinien nicht persönlichen Android Enterprise-Geräten in Intune zugewiesen sind, können Bedrohungsakteure nicht konforme Endpunkte ausnutzen, um nicht autorisierten Zugriff auf Unternehmensressourcen zu erhalten, Sicherheitskontrollen zu umgehen und Sicherheitsrisiken einzuführen. Ohne erzwungene Compliance fehlen auf Geräten wichtige Sicherheitskonfigurationen wie Kennungsanforderungen, Datenspeicherverschlüsselung und Betriebssystemversionssteuerungen. Diese Lücken erhöhen das Risiko von Datenlecks und unbefugtem Zugriff. Inkonsistente Gerätekonformität schwächt den Sicherheitsstatus der organization und erschwert die Erkennung und Behebung von Bedrohungen, bevor ein erheblicher Schaden auftritt.

Das Erzwingen von Konformitätsrichtlinien stellt sicher, dass persönliche Android-Geräte die wichtigsten Sicherheitsanforderungen erfüllen, und unterstützt Zero Trust, indem die Geräteintegrität überprüft und die Gefährdung durch falsch konfigurierte oder nicht verwaltete Endpunkte verringert wird.

Wartungsaktion

Erstellen und zuweisen Intune Konformitätsrichtlinien für persönliche Android Enterprise-Geräte, um Organisationsstandards für sicheren Zugriff und die sichere Verwaltung zu erzwingen:

• Erstellen einer Konformitätsrichtlinie in Microsoft Intune
• Überprüfen Sie die Android Enterprise-Konformitätseinstellungen, die Sie mit Intune verwalten können.

Konformitätsrichtlinien schützen iOS-/iPadOS-Geräte

Wenn iOS-/iPadOS-Geräten in Intune keine Konformitätsrichtlinien zugewiesen sind, können Bedrohungsakteure nicht konforme Endpunkte ausnutzen, um nicht autorisierten Zugriff auf Unternehmensressourcen zu erhalten, Sicherheitskontrollen zu umgehen und in der Umgebung beizubehalten. Ohne erzwungene Compliance fehlen auf Geräten wichtige Sicherheitskonfigurationen wie Kennungsanforderungen und Betriebssystemversionskontrollen. Diese Lücken erhöhen das Risiko von Datenlecks, Rechteausweitung und lateraler Verschiebung. Inkonsistente Gerätekonformität schwächt den Sicherheitsstatus der organization und erschwert die Erkennung und Behebung von Bedrohungen, bevor ein erheblicher Schaden auftritt.

Durch das Erzwingen von Konformitätsrichtlinien wird sichergestellt, dass iOS-/iPadOS-Geräte die wichtigsten Sicherheitsanforderungen erfüllen und Zero Trust unterstützen, indem die Geräteintegrität überprüft und die Gefährdung durch falsch konfigurierte oder nicht verwaltete Endpunkte verringert wird.

Wartungsaktion

Erstellen und Zuweisen Intune Konformitätsrichtlinien für iOS-/iPadOS-Geräte, um Organisationsstandards für sicheren Zugriff und die sichere Verwaltung durchzusetzen:

• Erstellen einer Konformitätsrichtlinie in Microsoft Intune
• Überprüfen Sie die iOS-/iPadOS-Konformitätseinstellungen, die Sie mit Intune verwalten können.

Plattform-SSO ist so konfiguriert, dass die Authentifizierung auf macOS-Geräten verstärkt wird.

Wenn Plattform-SSO-Richtlinien auf macOS-Geräten nicht erzwungen werden, können Endpunkte auf unsicheren oder inkonsistenten Authentifizierungsmechanismen basieren, sodass Angreifer die Richtlinien für bedingten Zugriff und Compliance umgehen können. Dies öffnet die Tür für laterale Verschiebungen zwischen Clouddiensten und lokalen Ressourcen, insbesondere wenn Verbundidentitäten verwendet werden. Bedrohungsakteure können beibehalten werden, indem sie gestohlene Token oder zwischengespeicherte Anmeldeinformationen nutzen und vertrauliche Daten über nicht verwaltete Apps oder Browsersitzungen exfiltrieren. Das Fehlen der Durchsetzung des einmaligen Anmeldens untergräbt auch App-Schutzrichtlinien und Gerätestatusbewertungen, sodass Es schwierig ist, Sicherheitsverletzungen zu erkennen und einzudämmen. Letztendlich beeinträchtigt das Versäumnis beim Konfigurieren und Zuweisen von macOS Platform SSO-Richtlinien die Identitätssicherheit und schwächt den Zero Trust Status des organization.

Durch das Erzwingen von Plattform-SSO-Richtlinien auf macOS-Geräten wird eine konsistente, sichere Authentifizierung über Apps und Dienste hinweg sichergestellt. Dies stärkt den Identitätsschutz, unterstützt die Erzwingung des bedingten Zugriffs und passt sich an Zero Trust an, indem die Abhängigkeit von lokalen Anmeldeinformationen verringert und die Statusbewertungen verbessert werden.

Wartungsaktion

Verwenden Sie Intune, um Plattform-SSO-Richtlinien für macOS-Geräte zu konfigurieren und zuzuweisen, um eine sichere Authentifizierung zu erzwingen und den Identitätsschutz zu stärken. Weitere Informationen finden Sie unter:

• Konfigurieren des einmaligen Anmeldens für Plattform für macOS in Intune: Schritt-für-Schritt-Anleitung zum Aktivieren von Platform SSO auf macOS-Geräten.
• Übersicht über einmaliges Anmelden (Single Sign-On, SSO) und Optionen für Apple-Geräte in Microsoft Intune– Übersicht über die für Apple-Plattformen verfügbaren SSO-Optionen.

Die automatische Registrierung von Defender für Endpunkt wird erzwungen, um das Risiko durch nicht verwaltete Android-Bedrohungen zu verringern

Wenn die automatische Registrierung bei Microsoft Defender for Endpoint für Android-Geräte in Intune nicht konfiguriert ist, bleiben verwaltete Endpunkte möglicherweise nicht vor mobilen Bedrohungen geschützt. Ohne Defender-Onboarding verfügen Geräte nicht über erweiterte Funktionen zur Bedrohungserkennung und -reaktion, was das Risiko von Schadsoftware, Phishing und anderen mobilen Angriffen erhöht. Ungeschützte Geräte können Sicherheitsrichtlinien umgehen, auf Unternehmensressourcen zugreifen und vertrauliche Daten kompromittieren. Diese Lücke in der mobilen Bedrohungsabwehr schwächt den Zero Trust Status des organization und verringert den Einblick in die Endpunktintegrität.

Durch die Aktivierung der automatischen Defender-Registrierung wird sichergestellt, dass Android-Geräte durch erweiterte Funktionen zur Bedrohungserkennung und -reaktion geschützt sind. Dies unterstützt Zero Trust, indem schutz vor mobilen Bedrohungen erzwungen, die Sichtbarkeit verbessert und die Gefährdung nicht verwalteter oder kompromittierter Endpunkte verringert wird.

Wartungsaktion

Verwenden Sie Intune, um die automatische Registrierung bei Microsoft Defender for Endpoint für Android-Geräte zu konfigurieren, um den Schutz vor mobilen Bedrohungen zu erzwingen:

• Integrieren von Microsoft Defender for Endpoint in Intune und Integrieren von Geräten

Regeln zur Gerätebereinigung sorgen für die Mandantenhygiene, indem inaktive Geräte ausgeblendet werden

Wenn Gerätebereinigungsregeln in Intune nicht konfiguriert sind, können veraltete oder inaktive Geräte im Mandanten auf unbestimmte Zeit sichtbar bleiben. Dies führt zu unübersichtlichen Gerätelisten, ungenauen Berichten und verringertem Einblick in die aktive Gerätelandschaft. Nicht verwendete Geräte behalten möglicherweise Zugriffsanmeldeinformationen oder Token bei, was das Risiko von nicht autorisiertem Zugriff oder falsch formatierten Richtlinienentscheidungen erhöht.

Gerätebereinigungsregeln blenden inaktive Geräte automatisch vor Administratoransichten und -berichten aus, wodurch die Mandantenhygiene verbessert und der Verwaltungsaufwand reduziert wird. Dies unterstützt Zero Trust, indem ein genauer und vertrauenswürdiger Gerätebestand bei gleichzeitiger Beibehaltung von Verlaufsdaten für Die Überwachung oder Untersuchung beibehalten wird.

Wartungsaktion

Konfigurieren Sie Intune Regeln für die Gerätebereinigung, um inaktive Geräte automatisch aus dem Mandanten auszublenden:

• Erstellen einer Gerätebereinigungsregel

Weitere Informationen finden Sie unter:

• Verwenden Intune Gerätebereinigungsregelnim Microsoft Tech Community Blog

Richtlinien für Geschäftsbedingungen schützen den Zugriff auf vertrauliche Daten

Wenn Richtlinien für Geschäftsbedingungen in Intune nicht konfiguriert und zugewiesen sind, können Benutzer auf Unternehmensressourcen zugreifen, ohne den erforderlichen Rechtlichen, Sicherheits- oder Nutzungsbedingungen zuzustimmen. Diese Unterlassung setzt die organization Compliancerisiken, rechtlichen Verpflichtungen und potenziellem Missbrauch von Ressourcen aus.

Durch das Erzwingen der Geschäftsbedingungen wird sichergestellt, dass Benutzer Unternehmensrichtlinien vor dem Zugriff auf vertrauliche Daten oder Systeme akzeptieren und die Einhaltung gesetzlicher Bestimmungen und den verantwortungsvollen Umgang mit Ressourcen unterstützen.

Wartungsaktion

Erstellen und Zuweisen von Richtlinien für Geschäftsbedingungen in Intune, um die Zustimmung des Benutzers zu erfordern, bevor Sie Zugriff auf Unternehmensressourcen gewähren:

• Erstellen einer Richtlinie für Geschäftsbedingungen

Unternehmensportal Branding- und Supporteinstellungen verbessern die Benutzererfahrung und vertrauen

Wenn das Intune-Unternehmensportal Branding nicht so konfiguriert ist, dass es die Details Ihrer organization darstellt, können Benutzer auf eine generische Schnittstelle stoßen und keine direkten Supportinformationen erhalten. Dies verringert das Vertrauen der Benutzer, erhöht den Supportaufwand und kann zu Verwirrung oder Verzögerungen bei der Behebung von Problemen führen.

Das Anpassen der Unternehmensportal an die Branding- und Supportkontaktdetails Ihres organization verbessert das Vertrauen der Benutzer, optimiert den Support und stärkt die Legitimität der Geräteverwaltungskommunikation.

Wartungsaktion

Konfigurieren Sie die Intune-Unternehmensportal mit den Branding- und Supportkontaktinformationen Ihres organization, um die Benutzererfahrung zu verbessern und den Supportaufwand zu reduzieren:

• Konfigurieren der Intune-Unternehmensportal

Endpoint Analytics ist aktiviert, um Risiken auf Windows-Geräten zu identifizieren.

Wenn die Endpunktanalyse nicht aktiviert ist, können Bedrohungsakteure Lücken bei Geräteintegrität, Leistung und Sicherheitsstatus ausnutzen. Ohne die Sichtbarkeitsendpunktanalyse kann es für einen organization schwierig sein, Indikatoren wie anomales Geräteverhalten, verzögertes Patchen oder Konfigurationsabweichungen zu erkennen. Diese Lücken ermöglichen es Angreifern, Persistenz einzurichten, Berechtigungen zu eskalieren und sich seitlich in der Umgebung zu bewegen. Das Fehlen von Analysedaten kann die schnelle Erkennung und Reaktion beeinträchtigen, sodass Angreifer nicht überwachte Endpunkte für Befehle und Kontrolle, Datenexfiltration oder weitere Kompromittierung ausnutzen können.

Die Aktivierung der Endpunktanalyse bietet Einblick in die Integrität und das Verhalten von Geräten und hilft Organisationen dabei, Risiken zu erkennen, schnell auf Bedrohungen zu reagieren und einen starken Zero Trust Status beizubehalten.

Wartungsaktion

Registrieren Sie Windows-Geräte bei der Endpunktanalyse in Intune, um die Geräteintegrität zu überwachen und Risiken zu identifizieren:

• Konfigurieren der Endpunktanalyse

Weitere Informationen finden Sie unter:

• Was ist Endpunktanalyse?

Verwandte Inhalte

• Bereitstellungshandbuch für Microsoft Intune
• Schützen von Daten und Geräten mit Microsoft Intune
• Konfigurieren Microsoft Entra für erhöhte Sicherheit (Vorschau)