阻止未经批准的远程协助解决方案

Question

我们有一个只使用Azure AD +In调的云设置来管理我们组织的windows设备，因为所有这些设备都是远程工作人员/在家工作。

我希望消除用户从IT团队以外的任何人接收远程连接的可能性。也许这是不寻常的，但在我们的小型非营利场景中，用户可能会咨询他们自己的本地计算机商店/IT支持服务来解决他们的组织设备上的查询。显然，这有可能成为安全和数据保护的噩梦。

有没有任何方法可以阻止Intune上的用户从任何不是我们IT团队(teamviewer，等等)的人那里得到任何远程支持？当我们没有域组策略的好处时，这似乎有点困难。

Answer 1

实现应用程序白列表不需要组策略。特别是，微软应用程序控制或AppLocker有几种部署方法，包括Intune。

将是一个需要实施的项目。特别是当用户有权自己安装东西的时候。或者，如果您想阻止合法的TeamViewer，这不是恶意软件的启发。但应该是一个非常有效的控制在强制不要运行这一政策。

当然，远程访问工具的攻击者技术和执行预防的缓解已经存在了一段时间。