Cet article a été traduit à partir de l’anglais pour votre marché. Quel est votre niveau de satisfaction par rapport à la qualité de la langue utilisée?
Infrastructure de protection des données utilisant des stratégies de protection des applications
Article
À mesure que de plus en plus d’organisations implémentent des stratégies d’appareils mobiles pour accéder aux données professionnelles ou scolaires, la protection contre les fuites de données devient primordiale. La solution de gestion des applications mobiles de Intune pour la protection contre les fuites de données est app Protection Policies (APP). LES APPLICATIONS sont des règles qui garantissent que les données d’un organization restent sécurisées ou contenues dans une application managée, que l’appareil soit inscrit ou non. Pour plus d’informations, consultez Protection d'applications vue d’ensemble des stratégies.
Lorsque vous configurez des stratégies de protection des applications, le nombre de paramètres et d’options différents permet aux organisations d’adapter la protection à leurs besoins spécifiques. En raison de cette flexibilité, il n’est peut-être pas évident de déterminer quelle permutation des paramètres de stratégie est nécessaire pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser les efforts de renforcement des points de terminaison client, Microsoft a introduit une nouvelle taxonomie pour les configurations de sécurité dans Windows 10, et Intune tire parti d’une taxonomie similaire pour son infrastructure de protection des données d’application pour la gestion des applications mobiles.
L’infrastructure de configuration de protection des données des applications est organisée en trois scénarios de configuration distincts :
Protection de base des données d’entreprise de niveau 1 : Microsoft recommande cette configuration comme configuration minimale de protection des données pour un appareil d’entreprise.
Protection améliorée des données d’entreprise de niveau 2 : Microsoft recommande cette configuration pour les appareils où les utilisateurs accèdent à des informations sensibles ou confidentielles. Cette configuration s’applique à la plupart des utilisateurs mobiles qui accèdent à des données professionnelles ou scolaires. Certains des contrôles peuvent avoir un impact sur l’expérience utilisateur.
Protection élevée des données d’entreprise de niveau 3 : Microsoft recommande cette configuration pour les appareils exécutés par un organization avec une équipe de sécurité plus importante ou plus sophistiquée, ou pour des utilisateurs ou des groupes spécifiques qui présentent un risque particulièrement élevé (les utilisateurs qui gèrent des données hautement sensibles lorsque la divulgation non autorisée entraîne une perte matérielle considérable pour le organization). Un organization susceptible d’être ciblé par des adversaires bien financés et sophistiqués devrait aspirer à cette configuration.
Méthodologie de déploiement d’APP Data Protection Framework
Comme pour tout déploiement de nouveaux logiciels, fonctionnalités ou paramètres, Microsoft recommande d’investir dans une méthodologie en anneau pour tester la validation avant de déployer l’infrastructure de protection des données des applications. La définition d’anneaux de déploiement est généralement un événement unique (ou du moins peu fréquent), mais le service informatique doit revoir ces groupes pour s’assurer que le séquencement est toujours correct.
Microsoft recommande l’approche en anneau de déploiement suivante pour l’infrastructure de protection des données des applications :
Anneau de déploiement
Tenant
Équipes d’évaluation
Sortie
Chronologie
Assurance qualité
Locataire de préproduction
Propriétaires de fonctionnalités mobiles, sécurité, évaluation des risques, confidentialité, expérience utilisateur
Validation de scénario fonctionnel, documentation préliminaire
0-30 jours
Aperçu
Locataire de production
Propriétaires de fonctionnalités mobiles, expérience utilisateur
Validation de scénario de l’utilisateur final, documentation utilisateur
7-14 jours après la phase Assurance qualité
Production
Locataire de production
Propriétaires de fonctionnalités mobiles, support technique informatique
S/O
De 7 jours à plusieurs semaines après la phase Preview
Comme l’indique le tableau ci-dessus, toutes les modifications apportées aux stratégies de protection des applications doivent d’abord être effectuées dans un environnement de préproduction pour comprendre les implications des paramètres de stratégie. Une fois les tests terminés, les modifications peuvent être déplacées en production et appliquées à un sous-ensemble d’utilisateurs de production, généralement le service informatique et d’autres groupes applicables. Enfin, le déploiement peut être effectué dans le reste de la communauté des utilisateurs mobiles. Le déploiement en production peut prendre plus de temps en fonction de l’ampleur de l’impact concernant la modification. S’il n’y a pas d’impact sur l’utilisateur, la modification doit être déployée rapidement, tandis que, si la modification entraîne un impact sur l’utilisateur, le déploiement peut être plus lent en raison de la nécessité de communiquer les modifications à la population d’utilisateurs.
Paramètres de l’infrastructure de protection des données des applications
Les paramètres de stratégie de protection des applications suivants doivent être activés pour les applications applicables et attribués à tous les utilisateurs mobiles. Pour plus d’informations sur chaque paramètre de stratégie, consultez Paramètres de stratégie de protection des applications iOS et Paramètres de stratégie de protection des applications Android.
Microsoft recommande d’examiner et de catégoriser les scénarios d’utilisation, puis de configurer les utilisateurs à l’aide des instructions normatives pour ce niveau. Comme pour n’importe quel framework, les paramètres d’un niveau correspondant peuvent devoir être ajustés en fonction des besoins de l’organization, car la protection des données doit évaluer l’environnement des menaces, l’appétit au risque et l’impact sur la facilité d’utilisation.
Applications à inclure dans les stratégies de protection des applications
Pour chaque stratégie de protection des applications, le groupe Core Microsoft Apps est ciblé, qui inclut les applications suivantes :
Microsoft Edge
Excel
Office
OneDrive
OneNote
Outlook
PowerPoint
SharePoint
Teams
To Do
Word
Les stratégies doivent inclure d’autres applications Microsoft basées sur les besoins de l’entreprise, des applications publiques tierces supplémentaires qui ont intégré le KIT de développement logiciel (SDK) Intune utilisé dans le organization, ainsi que des applications métier qui ont intégré le SDK Intune (ou qui ont été encapsulées).
Protection de base des données d’entreprise de niveau 1
Le niveau 1 est la configuration minimale de protection des données pour un appareil mobile d’entreprise. Cette configuration remplace la nécessité de stratégies d’accès aux appareils Exchange Online de base en exigeant un code confidentiel pour accéder aux données professionnelles ou scolaires, en chiffrant les données de compte professionnel ou scolaire et en fournissant la possibilité de réinitialiser de manière sélective les données scolaires ou professionnelles. Toutefois, contrairement aux stratégies d’accès aux appareils Exchange Online, les paramètres de stratégie de protection des applications ci-dessous s’appliquent à toutes les applications sélectionnées dans la stratégie, garantissant ainsi que l’accès aux données est protégé au-delà des scénarios de messagerie mobile.
Les stratégies du niveau 1 appliquent un niveau d’accès aux données raisonnable tout en réduisant l’impact sur les utilisateurs et miroir les paramètres de protection des données et d’accès par défaut lors de la création d’une stratégie de protection des applications dans Microsoft Intune.
Protection des données
Setting
Description du paramètre
Valeur
Plateforme
Transfert de données
Sauvegarder les données de l’organisation sur...
Autoriser
iOS/iPadOS, Android
Transfert de données
Envoyer des données d’organisation à d’autres applications
Toutes les applications
iOS/iPadOS, Android
Transfert de données
Envoyer des données d’organisation à
Toutes les destinations
Windows
Transfert de données
Recevoir des données d’autres applications
Toutes les applications
iOS/iPadOS, Android
Transfert de données
Recevoir des données de
Toutes les sources
Windows
Transfert de données
Restreindre les opérations couper, copier et coller entre les applications
N’importe quelle application
iOS/iPadOS, Android
Transfert de données
Autoriser les opérations couper, copier et coller pour
N’importe quelle destination et toute source
Windows
Transfert de données
Claviers tiers
Autoriser
iOS/iPadOS
Transfert de données
Claviers approuvés
Non requis
Android
Transfert de données
Capture d’écran et Assistant Google
Autoriser
Android
Chiffrement
Chiffrer les données d’organisation
Require (Rendre obligatoire)
iOS/iPadOS, Android
Chiffrement
Chiffrer les données d’organisation sur les appareils inscrits
Require (Rendre obligatoire)
Android
Les fonctionnalités
Synchroniser l’application avec l’application de contacts native
Autoriser
iOS/iPadOS, Android
Les fonctionnalités
Impression de données d’organisation
Autoriser
iOS/iPadOS, Android, Windows
Les fonctionnalités
Limiter le transfert de contenu web avec d'autres applications
N’importe quelle application
iOS/iPadOS, Android
Les fonctionnalités
Notifications de données de l’organisation
Autoriser
iOS/iPadOS, Android
Condition d’accès
Setting
Valeur
Plateforme
Notes
Accès par code PIN
Require (Rendre obligatoire)
iOS/iPadOS, Android
Type de code confidentiel
Numérique
iOS/iPadOS, Android
Code confidentiel simple
Autoriser
iOS/iPadOS, Android
Sélectionnez Longueur minimale du code confidentiel
4
iOS/iPadOS, Android
Touch ID au lieu du code pin pour l’accès (iOS 8+/iPadOS)
Autoriser
iOS/iPadOS
Remplacer la biométrie par un code confidentiel après expiration
Require (Rendre obligatoire)
iOS/iPadOS, Android
Délai d’expiration (minutes d’activité)
1440
iOS/iPadOS, Android
Face ID au lieu du code pin pour l’accès (iOS 11+/iPadOS)
Autoriser
iOS/iPadOS
Biométrie au lieu du code pin pour l’accès
Autoriser
iOS/iPadOS, Android
Réinitialisation du code PIN au bout d’un nombre de jours
Non
iOS/iPadOS, Android
Sélectionner le nombre de valeurs de code confidentiel précédentes à conserver
0
Android
PIN de l'application lorsque le PIN de l'appareil est défini
Require (Rendre obligatoire)
iOS/iPadOS, Android
Si l’appareil est inscrit dans Intune, les administrateurs peuvent envisager de définir ce paramètre sur « Non requis » s’ils appliquent un code pin d’appareil fort via une stratégie de conformité de l’appareil.
Informations d’identification du compte professionnel ou scolaire pour l’accès
Non requis
iOS/iPadOS, Android
Revérifier les exigences d’accès après (minutes d’inactivité)
30
iOS/iPadOS, Android
Lancement conditionnel
Setting
Description du paramètre
Valeur /Action
Plateforme
Notes
Conditions de l’application
Tentatives de code PIN maximum
5 / Réinitialiser le code confidentiel
iOS/iPadOS, Android
Conditions de l’application
Période de grâce hors connexion
10080 / Bloquer l’accès (minutes)
iOS/iPadOS, Android, Windows
Conditions de l’application
Période de grâce hors connexion
90 / Réinitialiser les données (jours)
iOS/iPadOS, Android, Windows
Conditions de l’appareil
Appareils jailbreakés/rootés
N/A / Bloquer l’accès
iOS/iPadOS, Android
Conditions de l’appareil
Attestation d’appareil SafetyNet
Intégrité de base et appareils certifiés / Bloquer l’accès
Android
Ce paramètre configure l’intégrité des appareils google play case activée sur les appareils des utilisateurs finaux. L’intégrité de base valide l’intégrité de l’appareil. Les appareils rootés, les émulateurs, les appareils virtuels et les appareils présentant des signes d’altération échouent aux tests d’intégrité de base.
L’intégrité de base et les appareils certifiés valident la compatibilité de l’appareil avec les services de Google. Seuls les appareils non modifiés qui ont été certifiés par Google peuvent satisfaire à ce contrôle.
Conditions de l’appareil
Exiger l’analyse des menaces sur les applications
N/A / Bloquer l’accès
Android
Ce paramètre garantit que l’analyse Vérifier les applications de Google est activée pour les appareils des utilisateurs finaux. Si cette option est configurée, l’accès de l’utilisateur final est bloqué jusqu’à ce qu’il active l’analyse de l’application google sur son appareil Android.
Conditions de l’appareil
Niveau de menace maximal autorisé pour l’appareil
Accès faible/bloquer
Windows
Conditions de l’appareil
Exiger le verrouillage de l’appareil
Faible/Avertissement
Android
Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales.
Remarque
Les paramètres de lancement conditionnel Windows sont étiquetés contrôle d’intégrité.
Protection améliorée des données d’entreprise de niveau 2
Le niveau 2 est la configuration de protection des données recommandée en tant que norme pour les appareils où les utilisateurs accèdent à des informations plus sensibles. Ces appareils sont aujourd’hui une cible naturelle au sein des entreprises. Ces recommandations ne supposent pas un grand nombre de professionnels de la sécurité hautement qualifiés et doivent donc être accessibles à la plupart des organisations d’entreprise. Cette configuration s’étend sur la configuration au niveau 1 en limitant les scénarios de transfert de données et en exigeant une version minimale du système d’exploitation.
Important
Les paramètres de stratégie appliqués au niveau 2 incluent tous les paramètres de stratégie recommandés pour le niveau 1. Toutefois, le niveau 2 répertorie uniquement les paramètres qui ont été ajoutés ou modifiés pour implémenter davantage de contrôles et une configuration plus sophistiquée que le niveau 1. Bien que ces paramètres puissent avoir un impact légèrement plus élevé sur les utilisateurs ou les applications, ils appliquent un niveau de protection des données plus proportionnel aux risques auxquels sont confrontés les utilisateurs ayant accès aux informations sensibles sur les appareils mobiles.
Protection des données
Setting
Description du paramètre
Valeur
Plateforme
Notes
Transfert de données
Sauvegarder les données de l’organisation sur...
Bloquer
iOS/iPadOS, Android
Transfert de données
Envoyer des données d’organisation à d’autres applications
Applications gérées par la stratégie
iOS/iPadOS, Android
Avec iOS/iPadOS, les administrateurs peuvent configurer cette valeur pour qu’elle soit « Applications gérées par une stratégie », « Applications gérées par une stratégie avec partage de système d’exploitation » ou « Applications gérées par une stratégie avec filtrage Open-In/Share ».
Les applications gérées par une stratégie avec partage de système d’exploitation sont disponibles lorsque l’appareil est également inscrit avec Intune. Ce paramètre permet le transfert de données vers d’autres applications gérées par une stratégie et les transferts de fichiers vers d’autres applications gérées par Intune.
Les applications gérées par une stratégie avec le filtrage Open-In/Share filtrent les boîtes de dialogue Ouvrir/Partager du système d’exploitation pour afficher uniquement les applications gérées par la stratégie.
Format : Major.Minor.Build Exemple : 14.8 / Bloquer l’accès
iOS/iPadOS
Microsoft recommande de configurer la version principale iOS minimale pour qu’elle corresponde aux versions iOS prises en charge pour les applications Microsoft. Les applications Microsoft prennent en charge une approche N-1 où N est la version actuelle de la version principale d’iOS. Pour les valeurs de version mineure et de build, Microsoft recommande de s’assurer que les appareils sont à jour avec les mises à jour de sécurité respectives. Consultez les mises à jour de sécurité Apple pour connaître les dernières recommandations d’Apple
Conditions de l’appareil
Version min. de l’OS
Format : Major.Minor Exemple : 9.0 / Bloquer l’accès
Android
Microsoft recommande de configurer la version principale Android minimale pour qu’elle corresponde aux versions Android prises en charge pour les applications Microsoft. Les OEM et les appareils qui adhèrent aux spécifications recommandées pour Android Enterprise doivent prendre en charge la version d’expédition actuelle + mise à niveau d’une lettre. Android recommande actuellement Android 9.0 et versions ultérieures pour les travailleurs du savoir. Consultez Les exigences recommandées pour Android Enterprise pour connaître les dernières recommandations d’Android
Conditions de l’appareil
Version min. de l’OS
Format : Build Exemple : 10.0.22621.2506 / Bloquer l’accès
Windows
Microsoft recommande de configurer la build Windows minimale pour qu’elle corresponde aux versions de Windows prises en charge pour les applications Microsoft. Actuellement, Microsoft recommande ce qui suit :
Format : AAAA-MM-JJ Exemple : 2020-01-01 / Bloquer l’accès
Android
Les appareils Android peuvent recevoir des correctifs de sécurité mensuels, mais la version dépend des OEM et/ou des opérateurs. Les organisations doivent s’assurer que les appareils Android déployés reçoivent des mises à jour de sécurité avant d’implémenter ce paramètre. Consultez les bulletins de sécurité Android pour connaître les dernières versions des correctifs.
Conditions de l’appareil
Type d’évaluation SafetyNet requis
Clé sauvegardée sur matériel
Android
L’attestation basée sur le matériel améliore la case activée du service d’intégrité play de Google existant en appliquant un nouveau type d’évaluation appelé Hardware Backed, fournissant une détection racine plus robuste en réponse à des types plus récents d’outils et de méthodes de rootage qui ne peuvent pas toujours être détectés de manière fiable par une solution logicielle uniquement.
Comme son nom l’indique, l’attestation basée sur le matériel utilise un composant matériel, fourni avec les appareils installés avec Android 8.1 et versions ultérieures. Les appareils qui ont été mis à niveau à partir d’une version antérieure d’Android vers Android 8.1 ont peu de chances de disposer des composants basés sur le matériel nécessaires à l’attestation basée sur le matériel. Bien que ce paramètre soit largement pris en charge à partir des appareils livrés avec Android 8.1, Microsoft recommande vivement de tester les appareils individuellement avant d’activer largement ce paramètre de stratégie.
Conditions de l’appareil
Exiger le verrouillage de l’appareil
Accès intermédiaire/bloqué
Android
Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales.
Conditions de l’appareil
Attestation d’appareil Samsung Knox
Bloquer l’accès
Android
Microsoft recommande de configurer le paramètre d’attestation d’appareil Samsung Knox sur Bloquer l’accès pour garantir que l’accès au compte d’utilisateur est bloqué si l’appareil ne répond pas à la vérification de l’intégrité de l’appareil basée sur le matériel Knox de Samsung. Ce paramètre vérifie que toutes les Intune réponses du client GAM au service Intune ont été envoyées à partir d’un appareil sain.
Les paramètres de lancement conditionnel Windows sont étiquetés contrôle d’intégrité.
Protection élevée des données d’entreprise de niveau 3
Le niveau 3 est la configuration de protection des données recommandée en tant que norme pour les organisations disposant d’organisations de sécurité de grande taille et sophistiquées, ou pour des utilisateurs et des groupes spécifiques qui seront ciblés de manière unique par des adversaires. Ces organisations sont généralement ciblées par des adversaires bien financés et sophistiqués, et à ce titre méritent les contraintes et les contrôles supplémentaires décrits. Cette configuration s’étend sur la configuration au niveau 2 en limitant les scénarios de transfert de données supplémentaires, en augmentant la complexité de la configuration du code confidentiel et en ajoutant la détection des menaces mobiles.
Important
Les paramètres de stratégie appliqués au niveau 3 incluent tous les paramètres de stratégie recommandés pour le niveau 2, mais ne répertorient que les paramètres ci-dessous qui ont été ajoutés ou modifiés pour implémenter davantage de contrôles et une configuration plus sophistiquée que le niveau 2. Ces paramètres de stratégie peuvent avoir un impact potentiellement significatif sur les utilisateurs ou les applications, en appliquant un niveau de sécurité proportionnel aux risques auxquels sont confrontées les organisations ciblées.
Protection des données
Setting
Description du paramètre
Valeur
Plateforme
Notes
Transfert de données
Transférer les données de télécommunications vers
N’importe quelle application de numérotation gérée par une stratégie
Android
Les administrateurs peuvent également configurer ce paramètre pour utiliser une application de numéroteur qui ne prend pas en charge les stratégies de protection des applications en sélectionnant Une application de numéroteur spécifique et en fournissant les valeurs ID du package d’application du numéroteur et Nom de l’application du numéroteur .
Transfert de données
Transférer les données de télécommunications vers
Une application de numéroteur spécifique
iOS/iPadOS
Transfert de données
Schéma d’URL de l’application de numéroteur
replace_with_dialer_app_url_scheme
iOS/iPadOS
Sur iOS/iPadOS, cette valeur doit être remplacée par le schéma d’URL de l’application de numérotation personnalisée utilisée. Si le schéma d’URL n’est pas connu, contactez le développeur de l’application pour plus d’informations. Pour plus d’informations sur les schémas d’URL, consultez Définition d’un schéma d’URL personnalisé pour votre application.
Transfert de données
Recevoir des données d’autres applications
Applications gérées par la stratégie
iOS/iPadOS, Android
Transfert de données
Ouvrir les données dans les documents d’organisation
Bloquer
iOS/iPadOS, Android
Transfert de données
Permettre aux utilisateurs d'ouvrir les données des services sélectionnés
Format : Major.Minor Exemple : 11.0 / Bloquer l’accès
Android
Microsoft recommande de configurer la version principale maximale d’Android pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez Les exigences recommandées pour Android Enterprise pour connaître les dernières recommandations d’Android
Conditions de l’appareil
Version maximale du système d'exploitation
Format : Major.Minor.Build Exemple : 15.0 / Bloquer l’accès
iOS/iPadOS
Microsoft recommande de configurer la version principale maximale d’iOS/iPadOS pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez les mises à jour de sécurité Apple pour connaître les dernières recommandations d’Apple
Conditions de l’appareil
Version maximale du système d'exploitation
Format : Major.Minor Exemple : 22631.
/ Bloquer l’accès
Windows
Microsoft recommande de configurer la version principale maximale de Windows pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées.
Conditions de l’appareil
Attestation d’appareil Samsung Knox
Réinitialiser les données
Android
Microsoft recommande de configurer le paramètre d’attestation d’appareil Samsung Knox sur Réinitialiser les données pour s’assurer que les données de l’organisation sont supprimées si l’appareil ne répond pas à la vérification de l’intégrité de l’appareil basée sur le matériel Knox de Samsung. Ce paramètre vérifie que toutes les Intune réponses du client GAM au service Intune ont été envoyées à partir d’un appareil sain.
Ce module explique comment utiliser Intune pour créer et gérer des stratégies WIP qui gèrent cette protection. Le module couvre également l’implémentation de BitLocker et du système de fichiers EFS.
Planifier et exécuter une stratégie de déploiement de points de terminaison, en utilisant les éléments essentiels de la gestion moderne, les approches de cogestion et l’intégration de Microsoft Intune.