Étape 3. Appliquer une protection élevée des données
Paramètres de protection des applications recommandés
Utilisez les paramètres de protection des applications recommandés suivants lors de la création et de l’application Intune protection des applications pour la protection élevée des données d’entreprise de niveau 3.
Protection élevée des données d’entreprise de niveau 3
Le niveau 3 est la configuration de protection des données recommandée en tant que norme pour les organisations disposant d’organisations de sécurité de grande taille et sophistiquées, ou pour des utilisateurs et des groupes spécifiques qui seront ciblés de manière unique par des adversaires. Ces organisations sont généralement ciblées par des adversaires bien financés et sophistiqués, et à ce titre méritent les contraintes et les contrôles supplémentaires décrits. Cette configuration s’étend sur la configuration au niveau 2 en limitant les scénarios de transfert de données supplémentaires, en augmentant la complexité de la configuration du code confidentiel et en ajoutant la détection des menaces mobiles.
Importante
Les paramètres de stratégie appliqués au niveau 3 incluent tous les paramètres de stratégie recommandés pour le niveau 2, mais ne répertorient que les paramètres ci-dessous qui ont été ajoutés ou modifiés pour implémenter davantage de contrôles et une configuration plus sophistiquée que le niveau 2. Ces paramètres de stratégie peuvent avoir un impact potentiellement significatif sur les utilisateurs ou les applications, en appliquant un niveau de sécurité proportionnel aux risques auxquels sont confrontées les organisations ciblées.
Protection des données
| Setting | Description du paramètre | Valeur | Plateforme | Notes |
|---|---|---|---|---|
| Transfert de données | Transférer les données de télécommunications vers | N’importe quelle application de numérotation gérée par une stratégie | Android | Les administrateurs peuvent également configurer ce paramètre pour utiliser une application de numéroteur qui ne prend pas en charge les stratégies de protection des applications en sélectionnant Une application de numéroteur spécifique et en fournissant les valeurs ID du package d’application du numéroteur et Nom de l’application du numéroteur . |
| Transfert de données | Transférer les données de télécommunications vers | Une application de numéroteur spécifique | iOS/iPadOS | |
| Transfert de données | Schéma d’URL de l’application de numéroteur | replace_with_dialer_app_url_scheme | iOS/iPadOS | Sur iOS/iPadOS, cette valeur doit être remplacée par le schéma d’URL de l’application de numérotation personnalisée utilisée. Si le schéma d’URL n’est pas connu, contactez le développeur de l’application pour plus d’informations. Pour plus d’informations sur les schémas d’URL, consultez Définition d’un schéma d’URL personnalisé pour votre application. |
| Transfert de données | Recevoir des données d’autres applications | Applications gérées par la stratégie | iOS/iPadOS, Android | |
| Transfert de données | Ouvrir les données dans les documents d’organisation | Bloquer | iOS/iPadOS, Android | |
| Transfert de données | Permettre aux utilisateurs d'ouvrir les données des services sélectionnés | OneDrive Entreprise, SharePoint, Appareil photo, photothèque | iOS/iPadOS, Android | Pour plus d’informations, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS. |
| Transfert de données | Claviers tiers | Bloquer | iOS/iPadOS | Sur iOS/iPadOS, cela empêche tous les claviers tiers de fonctionner dans l’application. |
| Transfert de données | Claviers approuvés | Require (Rendre obligatoire) | Android | |
| Transfert de données | Sélectionner les claviers à approuver | ajouter/supprimer des claviers | Android | Avec Android, les claviers doivent être sélectionnés pour être utilisés en fonction de vos appareils Android déployés. |
| Les fonctionnalités | Imprimer des données d’organisation | Bloquer | iOS/iPadOS, Android, Windows |
Condition d’accès
| Setting | Valeur | Plateforme |
|---|---|---|
| Code confidentiel simple | Bloquer | iOS/iPadOS, Android |
| Sélectionnez Longueur minimale du code confidentiel | 6 | iOS/iPadOS, Android |
| Réinitialisation du code PIN au bout d’un nombre de jours | Oui | iOS/iPadOS, Android |
| Nombre de jours | 365 | iOS/iPadOS, Android |
| Biométrie de classe 3 (Android 9.0+) | Require (Rendre obligatoire) | Android |
| Remplacer la biométrie par un code confidentiel après les mises à jour biométriques | Require (Rendre obligatoire) | Android |
Lancement conditionnel
| Setting | Description du paramètre | Valeur /Action | Plateforme | Notes |
|---|---|---|---|---|
| Conditions de l’appareil | Exiger le verrouillage de l’appareil | Accès élevé/bloqué | Android | Ce paramètre garantit que les appareils Android disposent d’un mot de passe d’appareil qui répond aux exigences de mot de passe minimales. |
| Conditions de l’appareil | Niveau de menace maximal autorisé pour l’appareil | Accès sécurisé/bloquer | Windows | |
| Conditions de l’appareil | Appareils jailbreakés/rootés | N/A / Réinitialiser les données | iOS/iPadOS, Android | |
| Conditions de l’appareil | Niveau de menace maximal autorisé | Accès sécurisé/bloquer | iOS/iPadOS, Android | Les appareils non inscrits peuvent être inspectés pour détecter les menaces à l’aide de Mobile Threat Defense. Pour plus d’informations, consultez Mobile Threat Defense pour les appareils non inscrits. Si l’appareil est inscrit, ce paramètre peut être ignoré au profit du déploiement de Mobile Threat Defense pour les appareils inscrits. Pour plus d’informations, consultez Protection contre les menaces mobiles pour les appareils inscrits. |
| Conditions de l’appareil | Version maximale du système d'exploitation |
Format : Major.Minor Exemple : 11.0 / Bloquer l’accès |
Android | Microsoft recommande de configurer la version principale maximale d’Android pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez Les exigences recommandées pour Android Enterprise pour connaître les dernières recommandations d’Android |
| Conditions de l’appareil | Version maximale du système d'exploitation |
Format : Major.Minor.Build Exemple : 15.0 / Bloquer l’accès |
iOS/iPadOS | Microsoft recommande de configurer la version principale maximale d’iOS/iPadOS pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. Consultez les mises à jour de sécurité Apple pour connaître les dernières recommandations d’Apple |
| Conditions de l’appareil | Version maximale du système d'exploitation |
Format : Major.Minor Exemple : 22631. / Bloquer l’accès |
Windows | Microsoft recommande de configurer la version principale maximale de Windows pour garantir que les versions bêta ou non prises en charge du système d’exploitation ne sont pas utilisées. |
| Conditions de l’appareil | Attestation d’appareil Samsung Knox | Réinitialiser les données | Android | Microsoft recommande de configurer le paramètre d’attestation d’appareil Samsung Knox sur Réinitialiser les données pour s’assurer que les données de l’organisation sont supprimées si l’appareil ne répond pas à la vérification de l’intégrité de l’appareil basée sur le matériel Knox de Samsung. Ce paramètre vérifie que toutes les Intune réponses du client GAM au service Intune ont été envoyées à partir d’un appareil sain. Ce paramètre s’applique à tous les appareils ciblés. Pour appliquer ce paramètre uniquement aux appareils Samsung, vous pouvez utiliser des filtres d’affectation « Applications gérées ». Pour plus d’informations sur les filtres d’affectation, consultez Utiliser des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune. |
| Conditions de l’application | Période de grâce hors connexion | 30 / Bloquer l’accès (jours) | iOS/iPadOS, Android, Windows |
Étape suivante
Passez à l’étape 4 pour comprendre la remise de la protection des applications dans Microsoft Intune.