Windows
Hanteringen av Windowsenheter i situationer där en enhet är stulen kan delas in i 3 olika angreppspunkter.
- Säkra information
- Förhindra nyttjande
- Spåra enheten
Som övergripande strategi bör enheterna läggas i en egen grupp för stulna enheter, där de inställningar som anges nedan är inställda så samma aktiviteter genomförs på samtliga stulna enheter.
Säkra information
Information på enheterna behöver ofta skyddas så de inte kommer i orätta händer. För att förhindra att data på enheten kommer ut behöver man fundera på vilka åtgärder som är lämpliga.
- Aktivera Bitlocker
- Rensa Last Logged In User
- AutoPilot-Reset
Aktivera Bitlocker
Bitlocker krypterar enheten så att informationen skyddas från åtkomst. Om det inte redan är aktivt, bör det aktiveras.
Använd någon av följande policytyper till att konfigurera BitLocker på dina hanterade enheter
Kryptera Windows 10-enheter med BitLocker i Intune - Microsoft Intune | Microsoft Docs
Rensa Last Logged In User
Att se senast inloggade användare så man kan logga in med samma igen är mycket bra i normala fall, men helst vill man få bort det om datorn blir stulen, så att användarens namn inte syns.
Skapa en Configurationpolicy - Settings Catalog
AutoPilot Reset
AutoPilot Reset tar bort profiler, applikationer och inställningar på enheten, men behåller den som hanterad enhet i MEM, så den kan få ytterligare inställningar.
Förhindra nyttjande
För att förhindra nyttjande av enheten kan man utföra flera åtgärder, som alla erbjuder sina egna utmaningar och vinster. Nedanstående lista utgår enkelhet i implementation till mer utmanande åtgärder.
- Kräv AutoPilot i OOBE efter reset
- Aktivera Bitlocker
- Säkra UEFI-inställningar
Kräv AutoPilot i OOBE efter Reset
För att se till så en ominstallation av Windows inte förbigår AutoPilot så kan man begränsa den möjligheten genom att göra två inställningar:
- Device Restriction - Requireusers to connect to network during device setup
- AutoPilot-profile - Hide change account options: Hide
Aktivera Bitlocker
Bitlocker krypterar enheten så att informationen skyddas från åtkomst. Om det inte redan är aktivt, bör det aktiveras.
Använd någon av följande policytyper till att konfigurera BitLocker på dina hanterade enheter
Kryptera Windows 10-enheter med BitLocker i Intune - Microsoft Intune | Microsoft Docs
Säkra UEFI-inställningar
UEFI-inställningarna styr bland annat om man kan boota datorn på USB-sticka för att på så sätt kunna ominstallera enheten. Se över följande inställningar
- Inaktivera Boot från andra enheter än OS-enheten
- Se till att Secure Boot är aktiverat.
- Lösenordsskydda UEFI
För vissa enheter kan dessa inställningar göras direkt från MEM med DFCI Management.
Spåra enheten
För att man skall kunna spåra enheten måste platstjänster vara aktiverade, samt att datorn måste vara aktiv och internetansluten för att platsdata skall kunna samlas in.
Platstjänster
Skapa en Configuration policy med profilen Settings Catalog. Setting: Let apps Access Location – Force allow.
Locate My Device
Aktivera Locate My Device i MEM för enheten som är stulen. Den kommer rapportera in sin plats när den har möjlighet. Dock är det viktigt att vara medveten om att platsinformation bara sparas i MEM i 24h av integritetsskäl, och man måste därför aktivt kontrollera om denna information rapporterats in i ett intervall kortare än 24h.
Eventful tittar även på möjligheten att framöver kunna avisera om sådan information samlats in, för att minska det manuella steget att kontrollera varje dag.
Gästläge
Ett alternativ man kan överväga är att aktivera gästläge på enheten så att den som har datorn ändå fortsätter använda den. Det ökar sannolikheten att enheten är online och kommunicerar med MEM så vi får platsinformationen.
Skapa en enhetskonfigurationsprofil för Delad enhet och aktivera gästläge.
Google Workspace for Education
Inaktivera den stulna enheten
Inaktivera och placera i ett lämpligt OU, där alla stulna eller borttappade enheter placeras.
Instruktionerna som följer appliceras på detta OU.
Gästläge
Är gästläge på? Om ja, skall det stängas av på det OU där de stulna Chrobooks flyttas till.
Visa inte senaste inloggade användare och radera all användardata vid utloggning
Ställ in följande på det OU där ni placerar de stulna enheterna.
Ange en lämplig text som underlättar för den som hittar enheten
Generella frågeställningar oavsett typ av enhet
Hur lång tidsrymd skall en enhet ha kvar sin licens och vara aktiv i respektive miljö innan den anses ominstallerad?
Så länge en Chromebook ligger kvar i systemet för att för hindra användning eller för att försöka spåra den, så tar den upp en licens.
Var artikeln till hjälp?
Toppen!
Tack för din feedback
Vi beklagar att det inte var till hjälp
Tack för din feedback
Feddback skickat
Vi uppskattar din feedback och uppdaterar artikeln vid behov