Implementace ovládacích prvků aplikace

  • 4 min

Řízení podmíněného přístupu k aplikacím umožňuje monitorování a řízení přístupu k uživatelským aplikacím a relacím v reálném čase na základě zásad přístupu a relací. Zásady přístupu a relací se používají na portálu Microsoft Defender for Cloud Apps k dalšímu upřesnění filtrů a nastavení akcí, které se mají provést u uživatele.

Řízení podmíněného přístupu k aplikacím

Snímek obrazovky, kde je v průvodci podmíněného přístupu vybrána kontrola podmíněného přístupu aplikace.

Řízení podmíněného přístupu k aplikacím používá architekturu reverzního proxy serveru a je jedinečně integrovaná s podmíněným přístupem Microsoft Entra. Podmíněný přístup Microsoft Entra umožňuje vynucovat řízení přístupu v aplikacích vaší organizace na základě určitých podmínek. Podmínky definují, kdo (uživatel nebo skupina uživatelů) a co (které cloudové aplikace) a kde (která umístění a sítě) se použije zásada podmíněného přístupu. Po určení podmínek můžete uživatele směrovat do Programu Microsoft Defender for Cloud Apps, kde můžete chránit data pomocí řízení podmíněného přístupu k aplikacím pomocí řízení přístupu a relací.

Pomocí zásad přístupu a relací můžete:

  • Zabránit exfiltraci dat: Stahování, vyjmutí, kopírování a tisk citlivých dokumentů můžete blokovat například na nespravovaných zařízeních.
  • Ochrana při stahování: Místo blokování stahování citlivých dokumentů můžete vyžadovat, aby byly dokumenty označené a chráněné pomocí služby Azure Information Protection. Tato akce zajistí, že je dokument chráněný a přístup uživatelů je omezen v potenciálně rizikové relaci.
  • Zabránit nahrání neoznačeného souboru: Než se citlivý soubor nahraje, distribuuje a používá ostatní, je důležité se ujistit, že soubor má správný popisek a ochranu. Můžete zajistit, aby se neoznačené soubory s citlivým obsahem neodesílaly, dokud uživatel obsah klasifikuje.
  • Monitorování uživatelských relací kvůli dodržování předpisů: Rizikoví uživatelé se monitorují, když se přihlásí k aplikacím a jejich akce se zaprotokolují v rámci relace. Můžete prozkoumat a analyzovat chování uživatelů, abyste pochopili, kde a za jakých podmínek by se zásady relací měly v budoucnu použít.
  • Blokovat přístup: Přístup pro konkrétní aplikace a uživatele můžete detailně blokovat v závislosti na několika rizikových faktorech. Můžete je například zablokovat, pokud používají klientské certifikáty jako formu správy zařízení.
  • Blokovat vlastní aktivity: Některé aplikace mají jedinečné scénáře, které riskují, například odesílání zpráv s citlivým obsahem v aplikacích, jako je Microsoft Teams nebo Slack. V těchto scénářích můžete vyhledat citlivý obsah a blokovat je v reálném čase.

Postupy: Vyžadování zásad ochrany aplikací a schválené klientské aplikace pro přístup ke cloudovým aplikacím pomocí podmíněného přístupu

Lidé pravidelně používají svá mobilní zařízení pro osobní i pracovní úkoly. I když zajistíte produktivitu zaměstnanců, organizace také chtějí zabránit ztrátě dat z potenciálně nezabezpečených aplikací. Pomocí podmíněného přístupu můžou organizace omezit přístup ke schváleným (moderním klientským aplikacím podporujícím ověřování).

Tato část obsahuje dva scénáře konfigurace zásad podmíněného přístupu pro prostředky, jako jsou Microsoft 365, Exchange Online a SharePoint Online.

Poznámka:

Aby bylo možné vyžadovat schválené klientské aplikace pro zařízení s iOSem a Androidem, musí se tato zařízení nejprve zaregistrovat v Microsoft Entra ID.

Scénář 1: Aplikace Microsoft 365 vyžadují schválenou klientskou aplikaci

V tomto scénáři se společnost Contoso rozhodla, že uživatelé, kteří používají mobilní zařízení, mají přístup ke všem službám Microsoftu 365, pokud používají schválené klientské aplikace, jako je Outlook Mobile, OneDrive a Microsoft Teams. Všichni uživatelé se už přihlašují pomocí přihlašovacích údajů Microsoft Entra a mají přiřazené licence, které zahrnují Microsoft Entra ID Premium P1 nebo P2 a Microsoft Intune.

Organizace musí provést následující tři kroky, aby vyžadovaly použití schválené klientské aplikace na mobilních zařízeních.

Krok 1: Zásady pro klienty moderního ověřování založené na Androidu a iOSu vyžadují použití schválené klientské aplikace při přístupu k Exchangi Online.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce zabezpečení nebo správce podmíněného přístupu.

  2. Přejděte na Identity, pak Protection a pak podmíněný přístup.

  3. Vyberte +Vytvořit novou zásadu.

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  5. V části Přiřazení vyberte Uživatelé a skupiny.

    1. V části Zahrnout vyberte Všechny uživatele nebo konkrétní uživatele a skupiny , na které chcete tuto zásadu použít.
    2. Vyberte Hotovo.

  6. V části Cloudové aplikace nebo akce vyberte ZahrnoutOffice 365.

  7. V části Podmínky vyberte Platformy zařízení.

    1. Nastavte možnost Konfigurovat na hodnotu Ano.
    2. Zahrnout Android a iOS.

  8. V části Podmínky vyberte Klientské aplikace (Preview).

  9. Nastavte možnost Konfigurovat na hodnotu Ano.

  10. Vyberte Mobilní aplikace a desktopové klienty a klienty moderního ověřování.

  11. V části Řízení přístupu a potom Udělení, vyberte Udělit přístup, Vyžadovat schválenou klientskou aplikaci a vyberte Vybrat.

  12. Nejprve potvrďte nastavení a potom nastavte Povolit zásadu na Zapnuto.

  13. Výběrem Vytvořit vytvořte a povolte zásady.

Krok 2: Konfigurace zásad podmíněného přístupu Microsoft Entra pro Exchange Online s ActiveSync (EAS).

  1. Přejděte na Identity, pak Protection a pak podmíněný přístup.

  2. Vyberte +Vytvořit novou zásadu.

  3. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  4. V části Přiřazení vyberte Uživatelé a skupiny.

    1. V části Zahrnout vyberte Všechny uživatele nebo konkrétní uživatele a skupiny , na které chcete tuto zásadu použít.
    2. Vyberte Hotovo.

  5. V části Cloudové aplikace nebo akce vyberte ZahrnoutOffice 365 Exchange Online.

  6. Za podmínek:

    1. Klientské aplikace (Preview):

      1. Nastavte možnost Konfigurovat na hodnotu Ano.
      2. Vyberte mobilní aplikace a desktopové klienty a klienty Exchange ActiveSync.

  7. V části Řízení přístupu a potom Udělení, vyberte Udělit přístup, Vyžadovat schválenou klientskou aplikaci a vyberte Vybrat.

  8. Nejprve potvrďte nastavení a potom nastavte Povolit zásadu na Zapnuto.

  9. Výběrem Vytvořit vytvořte a povolte zásady.

Krok 3: Konfigurace zásad ochrany aplikací Intune pro klientské aplikace pro iOS a Android

Přečtěte si článek Vytvoření a přiřazení zásad ochrany aplikací pro postup vytvoření zásad ochrany aplikací pro Android a iOS.

Scénář 2: Exchange Online a SharePoint Online vyžadují schválenou klientskou aplikaci

V tomto scénáři se společnost Contoso rozhodla, že uživatelé mají přístup jenom k e-mailům a datům SharePointu na mobilních zařízeních, pokud používají schválenou klientskou aplikaci, jako je Outlook Mobile. Všichni uživatelé se už přihlašují pomocí přihlašovacích údajů Microsoft Entra a mají přiřazené licence, které zahrnují Microsoft Entra ID Premium P1 nebo P2 a Microsoft Intune.

Organizace musí provést následující tři kroky, aby vyžadovaly použití schválené klientské aplikace na mobilních zařízeních a protokol Exchange ActiveSync klienty.

Krok 1: Zásady pro klienty moderního ověřování založené na Androidu a iOSu vyžadují použití schválené klientské aplikace při přístupu k Exchangi Online a SharePointu Online.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce zabezpečení nebo správce podmíněného přístupu.

  2. Přejděte na Identity, pak Protection a pak podmíněný přístup.

  3. Vyberte Nová politika.

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  5. V části Přiřazení vyberte Uživatelé a skupiny.

    1. V části Zahrnout vyberte Všechny uživatele nebo konkrétní uživatele a skupiny , na které chcete tuto zásadu použít.
    2. Vyberte Hotovo.

  6. V části Cloudové aplikace nebo akce vyberte Zahrnout, vyberte Office 365 Exchange Online a Office 365 SharePoint Online.

  7. V části Podmínky vyberte Platformy zařízení.

    1. Nastavte možnost Konfigurovat na hodnotu Ano.
    2. Zahrnout Android a iOS.

  8. V části Podmínky vyberte Klientské aplikace (Preview).

    1. Nastavte možnost Konfigurovat na hodnotu Ano.
    2. Vyberte Mobilní aplikace a desktopové klienty a klienty moderního ověřování.

  9. V části Řízení přístupu a potom Udělení, vyberte Udělit přístup, Vyžadovat schválenou klientskou aplikaci a vyberte Vybrat.

  10. Nejprve potvrďte nastavení a potom nastavte Povolit zásadu na Zapnuto.

  11. Výběrem Vytvořit vytvořte a povolte zásady.

Krok 2: Zásady pro klienty Exchange ActiveSync vyžadující použití schválené klientské aplikace

  1. Přejděte na Identity, pak Protection a pak podmíněný přístup.

  2. Vyberte Nová politika.

  3. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  4. V části Přiřazení vyberte Uživatelé a skupiny.

    1. V části Zahrnout vyberte Všechny uživatele nebo konkrétní uživatele a skupiny , na které chcete tuto zásadu použít.
    2. Vyberte Hotovo.

  5. V části Cloudové aplikace nebo akce vyberte ZahrnoutOffice 365 Exchange Online.

  6. Za podmínek:

  7. Klientské aplikace (Preview):

    1. Nastavte možnost Konfigurovat na hodnotu Ano.
    2. Vyberte mobilní aplikace a desktopové klienty a klienty Exchange ActiveSync.

  8. V části Řízení přístupu a potom Udělení, vyberte Udělit přístup, Vyžadovat schválenou klientskou aplikaci a vyberte Vybrat.

  9. Nejprve potvrďte nastavení a potom nastavte Povolit zásadu na Zapnuto.

  10. Výběrem Vytvořit vytvořte a povolte zásady.

Krok 3: Konfigurace zásad ochrany aplikací Intune pro klientské aplikace pro iOS a Android

Přečtěte si článek Vytvoření a přiřazení zásad ochrany aplikací pro postup vytvoření zásad ochrany aplikací pro Android a iOS.

Přehled zásad Ochrana aplikací

Zásady ochrany aplikací (APP) jsou pravidla, která zajišťují, že data organizace zůstanou bezpečná nebo obsažená ve spravované aplikaci. Zásadou může být pravidlo, které je vynuceno, když se uživatel pokusí o přístup nebo přesunutí „podnikových“ dat, nebo sada akcí, které jsou zakázány nebo sledovány, když je uživatel uvnitř aplikace. Spravovaná aplikace má použité zásady ochrany aplikací a dá se spravovat přes Intune.

Zásady ochrany aplikací správy mobilních aplikací (MAM) umožňují spravovat a chránit data vaší organizace v rámci aplikace. S MAM bez registrace (MAM-WE) je možné spravovat pracovní nebo školní aplikaci, která obsahuje citlivá data, téměř na jakémkoli zařízení, včetně osobních zařízení ve scénářích přineste si vlastní zařízení (BYOD). Intune MAM může spravovat mnoho kancelářských aplikací, jako jsou aplikace systém Microsoft Office.

Jak můžete chránit data aplikací

Vaši zaměstnanci používají mobilní zařízení pro osobní i pracovní úkoly. I když chcete zajistit, aby vaši zaměstnanci byli produktivní, chcete zabránit ztrátě dat – úmyslně i neúmyslně. Budete také chtít chránit firemní data, ke kterým se přistupuje ze zařízení, která nespravujete.

Zásady ochrany aplikací Intune můžete používat nezávisle na řešení správy mobilních zařízení (MDM). Tato nezávislost pomáhá chránit firemní data pomocí nebo bez registrace zařízení do řešení pro správu zařízení. Implementací zásad na úrovni aplikace můžete omezit přístup k prostředkům společnosti a zachovat data v rámci purview vašeho IT oddělení.

zásady Ochrana aplikací na zařízeních

Ochrana aplikací zásady je možné nakonfigurovat pro aplikace, které běží na zařízeních, která jsou:

  • Zaregistrované v Microsoft Intune: Tato zařízení jsou obvykle vlastněná společností.

  • Zaregistrované v řešení MDM třetí strany: Tato zařízení jsou obvykle vlastněná společností.

    Poznámka:

    Zásady správy mobilních aplikací by se neměly používat se správou mobilních aplikací třetích stran ani se zabezpečenými řešeními kontejnerů.

  • Nezaregistrováno v žádném řešení pro správu mobilních zařízení: Tato zařízení jsou obvykle zařízení vlastněná zaměstnanci, která nejsou spravovaná nebo zaregistrovaná v Intune nebo jiných řešeních MDM.

    Důležité

    Můžete vytvořit zásady správy mobilních aplikací pro mobilní aplikace Office, které se připojují ke službám Microsoftu 365. Přístup k místním poštovním schránkám Exchange můžete chránit také vytvořením zásad ochrany aplikací Intune pro Outlook pro iOS/iPadOS a Android s hybridním moderním ověřováním. Před použitím této funkce se ujistěte, že splňujete požadavky Outlooku pro iOS/iPadOS a Android. Ochrana aplikací zásady nejsou podporované pro jiné aplikace, které se připojují k místním službám Exchange nebo SharePoint.

Výhody používání zásad ochrany aplikací

Důležité výhody používání zásad ochrany aplikací jsou následující:

  • Ochrana firemních dat na úrovni aplikace Vzhledem k tomu, že správa mobilních aplikací nevyžaduje správu zařízení, můžete chránit firemní data na spravovaných i nespravovaných zařízeních. Správa je zaměřená na identitu uživatele, která eliminuje požadavek na správu zařízení.

  • Produktivita koncových uživatelů není ovlivněná a zásady se nevztahují při používání aplikace v osobním kontextu. Zásady se použijí jenom v pracovním kontextu, což vám dává možnost chránit firemní data bez zásahu do osobních údajů.

  • Ochrana aplikací zásady zajišťují, že jsou zavedené ochrany aplikační vrstvy. Je například možné:

    • Vyžadovat k otevření aplikace v pracovním kontextu zadání PINu
    • Řídit sdílení dat mezi aplikacemi
    • Zabránit ukládání dat firemních aplikací do soukromých úložišť

  • MDM kromě MAM zajišťuje, že je zařízení chráněné. Můžete například vyžadovat pin kód pro přístup k zařízení nebo můžete do zařízení nasadit spravované aplikace. Aplikace můžete také nasadit do zařízení prostřednictvím řešení MDM, abyste měli větší kontrolu nad správou aplikací.

Používání MDM se zásadami ochrany aplikací přináší další výhody a společnosti můžou používat zásady ochrany aplikací současně s MDM a bez nich. Představte si například zaměstnance, který používá telefon vydaný společností, a také svůj osobní tablet. Telefon společnosti je zaregistrovaný v MDM a chráněný zásadami ochrany aplikací, zatímco osobní zařízení je chráněné jenom zásadami ochrany aplikací.

Pokud pro uživatele použijete zásadu MAM bez nastavení stavu zařízení, uživatel získá zásady MAM na zařízení BYOD i na zařízení spravovaném v Intune. Můžete také použít zásadu MAM na základě spravovaného stavu. Takže když vytvoříte zásadu ochrany aplikací, vedle cíle na všechny typy aplikací byste vybrali Ne. Pak udělejte některou z těchto věcí:

  • Použijte méně přísné zásady MAM na spravovaná zařízení s Intune a použijte více omezující zásady MAM pro neregistrovaná zařízení MDM.
  • Použijte zásadu MAM jenom na nezaregistrovaná zařízení.