Správa mobilních zařízení pomocí Microsoft Intune pro podnikové zabezpečení

Správa mobilních zařízení pomocí Microsoft Intune pro podnikové zabezpečení

03/08/2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při používání Microsoft Intune ke správě a zabezpečení mobilních zařízení (iOS/iPadOS a Android) v podnikovém prostředí. Intune jako řešení Unified Endpoint Management (UEM) nabízí robustní nástroje, které zajistí, že mobilní zařízení přistupující k podnikovým zdrojům budou nakonfigurována bezpečně a v souladu, ať už ve firemním nebo osobním (BYOD) modelu [1].

Úvod

Mobilní zařízení jsou nezbytná pro produktivitu, ale pokud nejsou spravována, představují značné riziko. Microsoft Intune řeší tyto výzvy prostřednictvím dvou hlavních přístupů: Správa mobilních zařízení (MDM), která spravuje zařízení jako celek, a Správa mobilních aplikací (MAM), která chrání data v aplikacích bez ohledu na to, zda je zařízení spravované nebo nespravované. Ten je ideální pro scénáře BYOD [2].

Tato příručka se bude zabývat nastavením Intune pro MDM a MAM, registrací zařízení, vytvářením zásad konfigurace a dodržování předpisů a nasazováním aplikací.

Proč je Microsoft Intune zásadní?

  • Komplexní ochrana: Nabízí MDM a MAM k ochraně zařízení a dat.
  • Centralizované ovládání: Spravujte mobilní zařízení z jediné platformy.
  • Podmíněný přístup: Integruje se s podmíněným přístupem Azure AD, aby bylo zajištěno, že k podnikovým datům budou mít přístup pouze kompatibilní zařízení a aplikace.
  • Separace dat: Izoluje firemní data od osobních dat na zařízeních BYOD.

Předpoklady

  1. Licencování: Microsoft Intune (zahrnuto v předplatných, jako je Microsoft 365 E3/E5).
  2. Administrativní přístup: Global Administrator nebo Intune Service Administrator.
  3. Certifikát APN (pro iOS/iPadOS): Vyžaduje se pro správu zařízení Apple [3].
  4. Spravovaný účet Google Play (pro Android): Vyžadováno pro Android Enterprise.

Krok za krokem: Konfigurace Intune pro mobilní zařízení

1. Konfigurace registrace zařízení

Nejprve nakonfigurujte předpoklady pro registraci zařízení iOS a Android v centru pro správu Microsoft Intune (https://intune.microsoft.com) v části Správa tenantů > Konektory a tokeny.

  • Pro iOS/iPadOS: Vytvořte a nahrajte Apple APN Certificate.
  • Pro Android: Připojte svůj účet Intune ke Spravovanému obchodu Google Play.

2. Vytváření zásad dodržování předpisů

Zásady souladu definují požadavky na zabezpečení, které musí zařízení splňovat, aby bylo považováno za „vyhovující“. Nekompatibilní zařízení mohou být blokována podmíněným přístupem.

  1. V centru pro správu Intune přejděte na Zařízení > Zásady dodržování předpisů.
  2. Klikněte na Vytvořit zásady a vyberte platformu (např. „Android Enterprise“ nebo „iOS/iPadOS“).
  3. Nastavení shody: Definujte požadavky. Podstatné příklady:
    • ** Stav zařízení**: Vyžaduje, aby zařízení nebylo „útěk z vězení/odemknutý root“.
    • Vlastnosti zařízení: Nastavte „Minimální verze OS“.
    • Zabezpečení systému:
      • Vyžadovat heslo k odemknutí mobilních zařízení.
      • Vyžadovat šifrování dat na zařízení.
  4. Akce v případě neshody: Výchozí akce je „Označit zařízení jako nevyhovující“. Můžete přidat akce, jako je odeslání e-mailu uživateli.
  5. Přiřazení: Přiřaďte zásady skupině uživatelů nebo zařízení.

3. Vytváření konfiguračních profilů

Konfigurační profily přenášejí nastavení do zařízení, jako jsou profily Wi-Fi, profily VPN a omezení zařízení.

  1. Přejděte na Zařízení > Profily konfigurace a klikněte na Vytvořit profil.
  2. Vyberte platformu a typ profilu (např.: Modely > Omezení zařízení).
  3. Nastavení konfigurace: Nakonfigurujte požadovaná omezení. Příklady:
    • Obecné: Blokujte Snímek obrazovky a průvodce.
    • Heslo: Vynutí „Požadovaný typ hesla“ na „Alfanumerický“.
    • Aplikace: Blokování přístupu k osobním obchodům s aplikacemi.
  4. Přiřaďte profil skupině uživatelů nebo zařízenítives.

4. Implementace zásad ochrany aplikací (MAM)

MAM je ideální pro ochranu dat na osobních zařízeních (BYOD) bez jejich úplné správy.

  1. Přejděte na Aplikace > Zásady ochrany aplikací a klikněte na Vytvořit zásady.
  2. Vyberte platformu (např. iOS/iPadOS).
  3. Aplikace: Vyberte aplikace, které chcete chránit (např.: Microsoft Outlook, Microsoft Teams).
  4. Ochrana dat: Konfigurace pravidel DLP (Data Loss Prevention).
    • Zálohovat data orgánů: Zamknout.
    • Posílat data organizace do jiných aplikací: Aplikace spravované zásadami (zabraňuje kopírování/vkládání do nespravovaných aplikací).
    • Příjem dat z jiných aplikací: Všechny aplikace.
    • Omezit vyjímání, kopírování a vkládání mezi jinými aplikacemi: Blokováno.
  5. Požadavky na přístup: Vyžadujte „PIN pro přístup“ nebo firemní přihlašovací údaje.
  6. Přiřaďte zásadu skupině uživatelů.

5. Nasazování aplikací

Distribuujte aplikace do zařízení uživatelů.

  1. Přejděte na Aplikace > Všechny aplikace a klikněte na Přidat.
  2. Vyberte typ aplikace (např. iOS Store App nebo Android Store App).
  3. Vyhledejte aplikaci v obchodě (např. „Microsoft Authenticator“).
  4. Nakonfigurujte informace o aplikaci a přejděte na Přiřazení.
  5. Přiřaďte aplikaci jako Vyžadováno do skupiny (vynucená instalace) nebo jako Dostupná (uživatel může instalovat z Portálu společnosti).

Vzdálené akce a monitorování

V Intune můžete vybrat konkrétní zařízení a provádět vzdálené akce, například:

  • Sync: Vynutí přihlášení zařízení k Intune.
  • Restartovat: Restartuje zařízení.
  • Vymazat: Odstraní všechna firemní data a resetuje zařízení do továrního nastavení (ideální pro ztracená firemní zařízení).
  • Zakázat: Odstraní podniková data, přičemž osobní data zůstanou nedotčená (ideální pro scénáře BYOD).
  • Vzdálený zámek: Zamkne zařízení.

Závěr

Microsoft Intune nabízí kompletní sadu nástrojů pro řešení výzev moderního mobilního zabezpečení. Kombinací zásad dodržování předpisů, konfiguračních profilů a zásad ochrany aplikací mohou organizace zajistit, že podniková data zůstanou v bezpečí bez ohledu na to, kde k nim přistupují, a zároveň uživatelům poskytnout potřebnou flexibilitu. Pečlivá implementace těchto zásad je nezbytným krokem k účinné bezpečnostní strategii Zero Trust.

Reference

[1] Microsoft. (2023). Co je Microsoft Intune? [2] Microsoft. (2023). Co je správa aplikací Microsoft Intune? [3] Jablko. (2023). Apple Push Notification Service. [4] Microsoft. (2023). Licence dostupné pro Microsoft Intune. [5] Microsoft. (2023). Vytvořte zásady dodržování předpisů v Microsoft Intune. [6] Google. (2023). Připojte Intune ke svému spravovanému účtu Google Play.