Triển Khai Microsoft Purview – Phần 1

Đăng vào bởi Tran Thanh Long
  • Dự án: Triển khai Quản lý thiết bị & Bảo mật dữ liệu (Intune/DLP/Defender)
  • Phạm vi: 25 Users (Windows 11 Pro & macOS)
  • License: Microsoft 365 E5 (no Teams)

GIAI ĐOẠN 1: KHỞI TẠO & CHUẨN BỊ (INITIATION)

1.1. Gán License và Phân quyền

Đảm bảo người dùng có quyền sử dụng các dịch vụ lõi (Intune Plan 1, Defender P2, Entra ID P2).

  1. Truy cập Microsoft 365 Admin Center > Users > Active users.
  1. Chọn danh sách 25 users tham gia POC.
  1. Vào tab Licenses and apps, gán license Microsoft 365 E5 (no Teams).
  1. Lưu thay đổi.

1.2. Tạo nhóm quản lý (Entra ID Groups)

Tạo các nhóm để áp dụng chính sách tự động.

  1. Truy cập Entra ID Admin Center > Groups > All groups > New group.
  1. Nhóm User Pilot (Static):
    • Group type: Security.
    • Name: POC-Users-Scope.
    • Membership type: Assigned.
    • Members: Add 25 users tham gia dự án.
  1. Nhóm Thiết bị Windows (Dynamic):
    • Name: POC-Devices-Windows.
    • Membership type: Dynamic Device.
    • Rule syntax: (device.deviceOSType -eq “Windows”).
  1. Nhóm Thiết bị macOS (Dynamic):
    • Name: POC-Devices-MacOS.
    • Membership type: Dynamic Device.
    • Rule syntax: (device.deviceOSType -eq “MacMDM”).

1.3. Cấu hình Apple MDM Push Certificate

Bắt buộc để quản lý thiết bị Apple.

  1. Truy cập Intune Admin Center > Devices > Enrollment > Apple enrollment.
  1. Chọn Apple MDM Push certificate.
  1. Chọn “I agree…” và tải xuống Intune Certificate Signing Request (CSR).
  1. Click vào link để đến Apple Push Certificates Portal, đăng nhập bằng Apple ID Doanh nghiệp.
  1. Upload file CSR vừa tải và download về file chứng chỉ (.pem).
  1. Quay lại Intune, nhập Apple ID và upload file .pem để hoàn tất.

GIAI ĐOẠN 2: THIẾT KẾ & CẤU HÌNH NỀN TẢNG (DESIGN & CONFIGURATION)

2.1. Liên kết Intune và Defender (Connector)

Để thiết bị sau khi Enroll vào Intune sẽ tự động cài Defender.

  1. Truy cập Microsoft Defender Portal (security.microsoft.com) > Settings > Endpoints > Advanced features.
    • Tìm và bật Microsoft Intune connection (Status: ON).
  1. Truy cập Intune Admin Center > Endpoint security > Microsoft Defender for Endpoint.
    • Bật ON dòng: Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations.
    • Trong phần App Config Settings, bật ON cho iOS/iPadOS/macOS/Windows để đồng bộ trạng thái Compliance.

2.2. Cấu hình cho Windows 11 Pro

A. Compliance Policy (Tiêu chuẩn tuân thủ)

  • Path: Devices > Windows > Compliance policies.
  • Settings:
    • BitLocker: Require.
    • Secure Boot: Require.
    • Minimum OS version: 10.0.19041.
    • Machine Risk Score: Require to be at or under Medium.

B. Configuration Profile (Cài đặt thiết bị)

  • Path: Devices > Windows > Configuration profiles.
  • Profile 1: BitLocker (Endpoint protection)
    • Encrypt devices: Require.
    • Silent enable: Yes (Để user không bị hỏi popup).

  • Profile 2: Defender Onboarding
    • Profile type: Microsoft Defender for Endpoint onboarding.
    • Mục đích: Tự động đẩy gói cài đặt Defender xuống máy Windows.

2.3. Cấu hình cho macOS

Do tính chất bảo mật của Mac, cần deploy 3 profile sau để Defender chạy mượt mà (Silent).

  • Path: Devices > macOS > Configuration profiles.

Profile 1: System Extensions

  • Allowed Team Identifiers: UBF8T346G9 (Team ID của Microsoft).
  • Allowed System Extensions: Nhập 2 dòng sau:
    • com.microsoft.wdav.epsext
    • com.microsoft.wdav.netext

Profile 3: FileVault

  • Enable FileVault: Yes (Bắt buộc mã hóa ổ cứng).