Ochrana dat pro Windows MAM
Chráněný přístup ke správě mobilních aplikací (MAM) můžete povolit k datům organizace na osobních zařízeních s Windows. Tato funkce používá následující funkce:
- Zásady konfigurace aplikací Intune (ACP) pro přizpůsobení uživatelského prostředí organizace
- Zásady ochrany aplikací Intune (APP) pro zabezpečení dat organizace a zajištění dobrého stavu klientského zařízení
- Ochrana před hrozbami ve Windows Security Center integrovaná s aplikací Intune pro detekci místních zdravotních hrozeb na osobních zařízeních s Windows
- Podmíněný přístup ochrany aplikací, aby se zajistilo, že zařízení je chráněné a v pořádku, než udělíte chráněný přístup ke službě prostřednictvím Id Microsoft Entra
Poznámka
Správa mobilních aplikací Intune (MAM) pro Windows je dostupná pro Windows 10, build 19045.3636, KB5031445 nebo novější a Windows 11, build 10.0.22621.2506, KB5031455 (22H2) nebo novější. To zahrnuje podpůrné změny pro Microsoft Intune (verze 2309), Microsoft Edge (stabilní větev v117 a novější pro Windows 11 a v118.0.2088.71 a novější pro Windows 11) a Windows Security Center (v 1.0.2310.2002 a novější). Podmíněný přístup ochrany aplikací je obecně dostupný.
Windows MAM se podporuje v cloudových prostředích státní správy. Související informace najdete v tématu Nasazení aplikací pomocí Intune v prostředí GCC High a DoD.
Další informace o MAM najdete v tématu Základy správy mobilních aplikací (MAM).
Koncoví uživatelé i organizace musí mít chráněný přístup organizace z osobních zařízení. Organizace musí zajistit ochranu podnikových dat na osobních nespravovaných zařízeních. Jako správce Intune zodpovídáte za to, jak členové (koncoví uživatelé) vaší organizace přistupovali k podnikovým prostředkům chráněným způsobem z nespravovaného zařízení. Při přístupu k datům organizace musíte zajistit, aby nespravovaná zařízení byla v pořádku, aby aplikace dodržovaly zásady ochrany dat vaší organizace a aby nespravované prostředky koncového uživatele na jejich zařízení nebyly ovlivněny zásadami vaší organizace.
Jako správce Intune musíte mít následující funkce správy aplikací:
- Možnost nasadit zásady ochrany aplikací pro aplikace nebo uživatele chráněné sadou Intune APP SDK, včetně následujících:
- Nastavení ochrany dat
- Nastavení kontrol stavu (neboli podmíněného spuštění)
- Možnost vyžadovat zásady ochrany aplikací prostřednictvím podmíněného přístupu
- Možnost provést další ověření stavu klienta prostřednictvím Centra zabezpečení Windows pomocí následujícího postupu:
- Určení úrovně rizika služby Windows Security Center, která koncovým uživatelům umožní přístup k podnikovým prostředkům
- Nastavení konektoru založeného na tenantovi v Microsoft Intune pro Windows Security Center
- Možnost nasazení příkazu selektivního vymazání do chráněných aplikací
Členové vaší organizace (koncoví uživatelé) očekávají, že budou mít pro své účty následující funkce:
- Možnost přihlášení k Microsoft Entra ID pro přístup k webům chráněným podmíněným přístupem
- Možnost ověřit stav klientského zařízení v případě, že je zařízení považováno za špatné
- Možnost odvolat přístup k prostředkům, když zařízení není v pořádku
- Schopnost být informovaní s jasnými nápravnými kroky, když je přístup řízen zásadami správce
Poznámka
Informace týkající se Microsoft Entra ID najdete v tématu Vyžadování zásad ochrany aplikací na zařízeních s Windows.
Dodržování předpisů podmíněného přístupu
Prevence ztráty dat je součástí ochrany dat vaší organizace. Ochrana před únikem informací (DLP) je účinná jenom v případě, že k datům organizace není možné získat přístup z nechráněného systému nebo zařízení. Podmíněný přístup ochrany aplikací používá podmíněný přístup (CA) k zajištění podpory a vynucování zásad ochrany aplikací v klientské aplikaci před povolením přístupu k chráněným prostředkům (jako jsou data organizace). Ca APP umožní koncovým uživatelům s osobními zařízeními s Windows používat aplikace spravované aplikací, včetně Microsoft Edge, přístup k prostředkům Microsoft Entra, aniž by museli plně spravovat své osobní zařízení.
Tato služba MAM synchronizuje stav dodržování předpisů podle uživatele, aplikace a zařízení se službou Microsoft Entra CA. Patří sem informace o hrozbách získané od dodavatelů ochrany před mobilními hrozbami (MTD), počínaje službou Windows Security Center.
Poznámka
Tato služba MAM používá stejný pracovní postup dodržování předpisů podmíněného přístupu, který se používá ke správě Microsoft Edge na zařízeních s iOSem a Androidem.
Když zjistíte změnu, služba MAM okamžitě aktualizuje stav dodržování předpisů zařízením. Služba také zahrnuje stav MTD jako součást stavu dodržování předpisů.
Poznámka
Služba MAM vyhodnocuje stav MTD ve službě. To se provádí nezávisle na klientovi a klientské platformě MAM.
Klient MAM při ohlášení sdělí stav klienta (nebo metadata stavu) službě MAM. Stav zahrnuje případná selhání kontrol stavu aplikace pro podmínky blokování nebo vymazání . Microsoft Entra ID navíc provede koncové uživatele nápravnými kroky při pokusu o přístup k zablokovaným prostředkům certifikační autority.
Dodržování předpisů podmíněného přístupu
Organizace můžou pomocí zásad podmíněného přístupu Microsoft Entra zajistit, aby uživatelé měli přístup k pracovnímu nebo školnímu obsahu jenom pomocí aplikací spravovaných zásadami ve Windows. K tomu budete potřebovat zásady podmíněného přístupu, které cílí na všechny potenciální uživatele. Postupujte podle kroků v tématu Vyžadování zásady ochrany aplikací na zařízeních s Windows, které umožňují Aplikaci Microsoft Edge pro Windows, ale brání ostatním webovým prohlížečům v připojení ke koncovým bodům Microsoft 365.
Pomocí podmíněného přístupu můžete také cílit na místní weby, které jste prostřednictvím proxy aplikací Microsoft Entra zpřístupnili externím uživatelům.
Threat Defense Health
Stav zařízení v osobním vlastnictví se před povolením přístupu k datům vaší organizace ověří. Detekci hrozeb MAM je možné připojit pomocí Centra zabezpečení Systému Windows. Windows Security Center poskytuje hodnocení stavu klientských zařízení do aplikace Intune prostřednictvím konektoru service-to-service. Toto hodnocení podporuje nastavení toku a přístupu k datům organizace na osobních nespravovaných zařízeních.
Stav obsahuje následující podrobnosti:
- Identifikátory uživatelů, aplikací a zařízení
- Předdefinovaný stav
- Čas poslední aktualizace stavu
Stav se odesílá jenom uživatelům zaregistrovaným v mam. Koncoví uživatelé můžou ukončit odesílání dat tím, že se odhlásí ze svého účtu organizace v chráněných aplikacích. Správci můžou ukončit odesílání dat odebráním konektoru Zabezpečení systému Windows z Microsoft Intune.
Související informace najdete v tématu Vytvoření zásad ochrany aplikací MTD pro Windows.
Vytvoření zásad ochrany aplikací Intune
Zásady ochrany aplikací (APP) definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře.
Jako správce můžete nakonfigurovat ochranu dat prostřednictvím aplikace. Tato konfigurace se vztahuje na nativní interakci aplikace systému Windows s daty. Nastavení aplikace jsou rozdělená do tří kategorií:
- Ochrana dat – Tato nastavení určují, jak se data můžou přesouvat do a z kontextu organizace (účet, dokument, umístění, služby) pro uživatele.
- Kontroly stavu (podmíněné spuštění) – Tato nastavení řídí podmínky zařízení vyžadované pro přístup k datům organizace a akce nápravy, pokud nejsou splněné podmínky.
Microsoft zavedl taxonomii pro svoji architekturu ochrany dat app pro správu mobilních aplikací, aby organizacím pomohl určit prioritu posílení zabezpečení koncových bodů klienta.
Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.
Další informace o dostupných nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Windows.