Bez zarządzania – nie ma zabezpieczeń.
W Microsoft 365 komputery Windows Pro mogą być służbowe (zarządzane) lub prywatne (niezarządzane).
Podstawowe subskrypcje (Microsoft 365 Basic / Apps / Standard / Office 365 E1/E3) nie zawierają technologii zarządzania urządzeniami. Jeżeli nie ma urządzeń zarządzanych w organizacji, to oznacza, że wszystkie urządzenia należy traktować jako prywatne.
Urządzenia prywatne nie są pod kontrolą organizacji, nic o nich nie wiemy. Nie spełniają standardów bezpieczeństwa np. takich jak szyfrowanie dysków i aktualizacja oprogramowania. W takim scenariuszu zabezpieczenia firmy opierają się wyłącznie na autoryzacji użytkownika, nie urządzenia. To zwiększa ryzyko naruszenia bezpieczeństwa.
Jeśli wszystkie komputery są prywatne nie można dywersyfikować uprawnień w oparciu o parametr tożsamości urządzenia.
Bez zarządzania – nie ma zabezpieczeń.
Bez zabezpieczeń – musimy zaakceptować ryzyko.
Centralne zarządzanie w trybie Cloud-Native (prosto z chmury) pozwala na wdrażanie najwyższych standardów zabezpieczeń i zapewnia zgodność z regulacjami.
Zarządzanie pozwala na stosowanie ograniczeń, gdy użytkownik otrzymuje dostęp z prywatnego urządzania.
Automatyzacja wdrożenia urządzeń zmniejsza ryzyko błędów i zwiększa efektywność operacyjną. Wdrażanie nowych komputerów staje się proste.
Sprawdź, czy nie potrzebujesz.
- użytkownik otrzymuje kompletnie skonfigurowane i zabezpieczone środowisko pracy Microsoft 365 i Windows 11
- wszystkie czynności administracyjne odbywają się zdalnie (Cloud-Native)
- zmiany konfiguracji synchronizowane są co 8 godzin
- każde urządzenie powinno przejść przez proces przywrócenia do ustawień fabrycznych
- rejestracja istniejących urządzeń w zarządzaniu wymaga innego przygotowania komputera
- każde urządzenie ma swojego głównego użytkownika, którego dotyczą ustawienia
- parametr stanu urządzenia będzie wykorzystywany w zasadach dostępu warunkowego
- dostęp z urządzeń niezarejestrowanych (prywatnych) będzie podlegać ograniczeniom
- urządzenie zarządzane (służbowe) ma większe uprawnienia, ponieważ istnieje jedno na użytkownika (lub kilka, ale nie milion), jak potencjalnie urządzeń prywatnych.
- na urządzeniu służbowym użytkownik logowany jest automatycznie do usług i aplikacji M365 po zalogowaniu do urządzenia
- nie musi logować się interaktywnie w przeglądarce Edge, może być zalogowany automatycznie również w Chrome lub Firefox (użytkownik może to włączyć samodzielnie)
- po zamknięciu przeglądarki sesja użytkownika trwa aż do czasu intencjonalnego wylogowania
- użytkownik nie jest administratorem służbowego komputera
- wybrani pracownicy mogą być administratorem komputerów innych użytkowników
- użytkownik nie ma wpływu na ustawienia i zabezpieczenia zarządzane przez firmę
- użytkownik loguje się do urządzenia poświadczeniami Microsoft 365
- metody uwierzytelniania wieloskładnikowego są takie, jak w Microsoft 365
- zmiana hasła do urządzenia odbywa się zdalnie, działa w czasie rzeczywistym
- wdrożenie zasad zgodności dla urządzeń
- urządzania niezgodne będą blokowane przy dostępie do danych M365
- monitoring stanu zgodności w czasie rzeczywistym
- aplikacje Office są instalowane i aktualizowane zgodnie z politykami
- aplikacje innych firm są instalowane automatycznie
- instalacja aplikacji ze Sklepu Microsoft przez użytkownika będzie zablokowana
- system operacyjny jest automatycznie aktualizowany w kontrolowanych cyklach
- przejście na koleje wersje Windows (co rok) jest zarządzane
- podatności są monitorowane
- konfiguracja urządzenia Windows w zakresie funkcji jest wymuszana i zarządzana
- włączona jest automatycznie synchronizacja z firmowym OneDrive użytkownika, wyłączona jest synchronizacja z magazynem prywatnym
- blokowane jest dodawanie kont innych niż konto służbowe w Outlook Desktop
- wymuszenie strefy czasowej
- wprowadzenie identyfikacji wizualnej w trakcie logowania
- strona startowa Edge i zestaw linków firmowych jako ulubione
- dyski wewnętrzne są szyfrowane technologią BitLocker
- klucze odzyskiwania są dostępne dla administratora
- kopiowanie na niezaszyfrowane dyski USB może być zablokowane
- urządzenia podlegają zautomatyzowanej ochronie przed zagrożeniami
- automatycznie wykrywanie i reakcja na zagrożenia, w tym behawioralne
- ograniczenie obszaru ataków przez eliminację zbędnych funkcji, usług i uprawnień
- użytkownik logowany jest automatycznie w Microsoft Edge for Business
- użytkownik może być automatycznie logowany w Chrome i Firefox
- sesja użytkownika w innych przeglądarkach będzie ograniczana (traktowana jak na prywatnym urządzeniu)
określone adresy stron / IP będą zablokowane
- określone typy treści w Internecie będą zablokowane
- przeglądarki instalowane bez uprawnienie administracyjnych mogą być blokowane
- korzystanie z prywatnego OneDrive będzie zablokowane
- synchronizacja danych SharePoint z innej organizacji będzie zarządzana
- rejestracja urządzeń jako służbowe jest blokowana
- dokumenty i wiadomości mogą podlegać klasyfikacji i szyfrowaniu, w tym automatycznie
- aktywności na danych klasyfikowanych są raportowane (odczytanie, modyfikacja, zapis)
- kopiowanie danych na USB może być zablokowane
- firma może zdalnie usunąć dane i odebrać dostęp
- firma może zdalnie przywrócić komputer do ustawień początkowych
- administrator może zalogować się jako użytkownik
- inwentaryzacja zasobów służbowych (użytkownicy, urządzenia, oprogramowanie) tworzona jest automatycznie
- firma dysponuje dowodami na stosowanie zabezpieczeń (niemodyfikowalne raporty) czynności administracyjne odbywają się zdalnie (Cloud-Native)
- informacje dotyczące logowania przechowywane są przez 30 dni
- wdrożenie nowego urządzenia trwa minuty, nie godziny
- rekonfiguracja dla innego użytkownika trwa minuty, nie godziny
- administrator musi wyrejestrować urządzenia wycofane z firmy
- model wdrażania Cloud-Native jest rekomendowany przez Microsoft
- ustandaryzowana konfiguracja generuje niewielką ilość zgłoszeń serwisowych
- szybciej można zdiagnozować problemy
- model chmurowy ułatwia centralizację danych, co jest kluczowe dla nowych technologii takich jak sztuczna inteligencja
- firma redukuje ilość loginów i haseł na rzecz profesjonalnego systemu uwierzytelniania
- pozwala firmie na kontrolę przetwarzania danych
Ogranicznia BYOD
- ograniczenia dostępu i czynności możliwych do wykonania z urządzeń prywatnych
- blokowanie pobierania, kopiowania, drukowania danych służbowych w przeglądarce
- blokowanie synchronizacji OneDrive / SharePoint / Teams na urządzeniach prywatnych
- blokowanie dostępu do danych służbowych z aplikacji Microsoft 365 zainstalowanych na prywatnych urządzeniach
- blokowanie dostępu z systemów operacyjnych niewykorzystywanych służbowo
- automatyczne wylogowanie z przeglądarki po czasie nieaktywności
Summary
W dokumencie przedstawiono różnice między urządzeniami zarządzanymi i niezarządzanymi na platformie Microsoft 365, podkreślając znaczenie zarządzania urządzeniami dla zabezpieczeń i zgodności.
Zarządzanie urządzeniami i bezpieczeństwo: Zarządzane urządzenia pozwalają na wdrażanie standardów i konfiguracji bezpieczeństwa, zmniejszając ryzyko naruszenia danych, podczas gdy urządzenia niezarządzane stwarzają większe zagrożenia bezpieczeństwa.
Możliwości zarządzanych urządzeń: Zarządzane urządzenia oferują automatyczną konfigurację, zdalną administrację i synchronizację ustawień, zapewniając bezpieczne i wydajne środowisko pracy.
Dostęp warunkowy i ograniczenia: Dostęp z urządzeń niezarządzanych jest ograniczony i podlega ograniczeniom, podczas gdy zarządzane urządzenia mają większe uprawnienia i mogą skutecznie egzekwować zasady zabezpieczeń.
Scentralizowane zarządzanie i zgodność: Scentralizowane zarządzanie dzięki podejściu natywnemu dla chmury usprawnia monitorowanie zgodności, upraszcza zarządzanie cyklem życia urządzeń i obsługuje szybkie wdrażanie aktualizacji zabezpieczeń.
The document outlines the differences between managed and unmanaged devices in Microsoft 365, emphasizing the importance of device management for security and compliance.
Device Management and Security: Managed devices allow for the implementation of security standards and configurations, reducing the risk of data breaches, while unmanaged devices pose higher security risks.
Capabilities of Managed Devices: Managed devices offer automated configuration, remote administration, and synchronization of settings, providing a secure and efficient work environment.
Conditional Access and Restrictions: Access from unmanaged devices is restricted and subject to limitations, while managed devices have greater permissions and can enforce security policies effectively.
Centralized Management and Compliance: Centralized management through a cloud-native approach enhances compliance monitoring, simplifies device lifecycle management, and supports rapid deployment of security updates.
Microsoft 365 Business Premium / Microsot 365 E3 / Microsoft Entra ID P1 / Conditional Access / Windows Autopilot / Device Preparation Policies/ Mobile App Management / Microsoft Intune / Microsoft Purview Information Protection / Microsoft Defender for Endpoint / Microsoft Defender for Business / Microsoft OneDrive for Business / MIcrosoft Edge for Business / Applocker / Defender Custom Indicators