Мировой кризис в области здравоохранения привел к тому, что многие организации расширили удаленный доступ, чтобы дать возможность большему количеству сотрудников работать из дома. При использовании решений удаленного доступа иногда появляется проблема с ограничением планирования необходимой защиты.
В идеальном мире перед подключением удаленного доступа к корпоративной сети вы должны убедиться, что клиент соответствует набору минимальных стандартов. И убедитесь, что клиент так же защищен, даже если он не подключен напрямую к интрасети.
Windows 10 Always On VPN может интегрироваться с Azure Active Directory (AD) для проверки Windows на соответствие работоспособности при попытке подключения. Краткосрочные сертификаты, выпущенные Azure AD, используются для проверки подлинности VPN, если устройство соответствует правилам. Когда срок действия сертификата истекает, клиент снова проверяет Azure AD на соответствие, прежде чем Azure выпустит новый сертификат.
Другой подход, который также можно использовать с VPN, заключается в проверке соответствия, когда устройства подключены к общедоступному Интернету. Чтобы проверить соответствие Windows 10, вам потребуется решение Mobile Device Management (MDM).
Microsoft Intune
Intune — это решение Microsoft для MDM. Организации могут приобретать лицензии Intune для управления пользователями и устройствами. Лицензии Intune также включены в некоторые планы Microsoft 365, например Microsoft 365 Business Premium.
Существует несколько способов регистрации устройств Windows 10 с помощью Intune. Если устройство Windows 10 подключено к Azure Active Directory, его можно при желании автоматически зарегистрировать в Intune.
Для получения дополнительной информации о том, как зарегистрировать устройства и назначить лицензии Intune, Microsoft Intune: регистрация устройств Windows 10.
Создание политики соответствия Intune
Как только ваши устройства будут зарегистрированы в Intune, создайте политику соответствия, чтобы убедиться, что устройства соответствуют определенным стандартам безопасности. Чтобы создать политику, войдите в центр администрирования Microsoft Endpoint Manager (MEM) и следуйте приведенным ниже инструкциям.
Параметры политики в инструкциях ниже приведены в качестве примера. Конечно, вы можете выбрать свои собственные настройки в соответствии с политикой безопасности вашей организации.
- Войдите в центр администрирования MEM с учетной записью администратора или другой учетной записью, у которой есть разрешение на создание и назначение политик.
- В этом списке опций слева под FAVORITES выберите Devices.
- На панели Overview ниже Policy выберите Compliance policies.
- Click + Create Policy
- В области Create a policy выберите Windows 10 and later в раскрывающемся меню Platform.
- Кликните Create.
- На экране Windows 10 compliance policy введите имя для политики и нажмите кнопку Next
- На вкладке Compliance settings разверните Device Health и выберите Require Secure Boot to be enabled on the device. Большинство устройств, выпущенных за последние несколько лет, поддерживают безопасную загрузку.
- Разверните Device Properties. В поле Минимальная версия ОС введите 18363.778, как показано на снимке экрана ниже. 10.0.18363.778 — Windows 10 версии 1909, сборка 18363.778.
Чтобы получить версию Windows 10 в формате major.minor.build.revision, необходимого для Intune, откройте командную строку, введите ver и нажмите клавишу Enter.
- Теперь разверните System Security.
- В разделе Device Security измените параметры Firewall, Antivirus, Trusted Platform Module (TPM) и Antispyware на Require.
- Затем ниже Defender установите для Microsoft Defender Antimalware значение Require.
- Теперь установите для Microsoft Defender Antimalware security intelligence последнюю версию и Real-time protection измените на Require.
- Кликните Next, чтобы продолжить.
- На вкладке Actions for noncompliance выберите Retire the non-compliant device, используя первое раскрывающееся меню в разделе Mark device non-compliant. В поле справа ниже Immediately введите 30. Минимальное число для этого поля и действия составляет 30 дней.
Удаленная блокировка несовместимого устройства не поддерживается для настольных устройств с Windows 10. Существует действие для отправки электронного письма пользователю и дополнительным получателям. Действие Retire the noncompliant device action удаляет все данные компании, а устройство удаляется из управления Intune.
- Кликните Next, чтобы продолжить.
- Кликните Next на вкладке Scope.
- На вкладке Assignments выберите All users в раскрывающемся меню справа от Assign в разделе Included groups. Это приведет к применению политики соответствия для всех пользователей, подключающихся к устройствам, зарегистрированным в Intune.
- Кликните
- Просмотрите сведения о политике на последней вкладке и затем нажмите кнопку Create.
Как проверить статус соответствия политики Intune
После создания политики все устройства Windows 10, которые не соответствуют требованиям, будут помечены как несовместимые. Для проверки состояние устройств:
- В Microsoft Endpoint Manager щелкните Dashboard в списке параметров слева.
- Убедитесь, что Devices выбраны на приборной панели.
- На вкладках в верхней части экрана Devices щелкните Compliance status.
- Ниже статуса соответствия устройств вы можете просмотреть количество совместимых и несовместимых устройств.
- Чтобы точно определить, какие устройства Windows 10 не совместимы, в разделе Platform нажмите Windows.
- Теперь вы увидите список устройств Windows, зарегистрированных с Intune. Щелкните заголовок столбца Compliance, чтобы упорядочить список по статусу соответствия устройств.
Помните, что при создании новых политик они не применяются немедленно к устройствам. Каждое устройство должно синхронизироваться с Intune перед применением новых политик.